滚动快讯 乐友举办万人萌宝爬爬赛,开启京城亲子假期新模式 广州天诺,目前二类电商市场到底有多大呢? 5G极速,超清主摄,极速漂移,全速热爱 浩祥美居全屋整装与时尚接轨,营造潮流个性生活空间 健康中国 爱瞳行动 尤本林谈书法艺术的悟性与个性 口碑很好的AI人工智能教育一对一辅导加盟项目 人工智能教育加盟项目的加盟费用大概需要多少 什么是LVDS串行器? 网络营销推广揭秘网络营销和网络推广有何区别?
 当前位置:科 技
 
腾讯安全团队公布“驱动人生木马事件”始末:系定向攻击 已率先查杀
发布时间:2018-12-20 18:02:16  浏览次数:1147

 

 12月14日下午,腾讯安全御见威胁情报中心监测到一款通过“驱动人生”系列软件升级通道传播的木马突然爆发,仅2个小时受攻击用户便高达10万。腾讯安全团队第一时间将该病毒疫情对外通报、发布安全预警,并连夜发布详细的技术分析报告。

  驱动人生公司接到事件预警后,与腾讯安全团队取得联系,并邀请腾讯企业安全应急响应中心协助追查事故原因,同时就该事件向深圳警方报警。双方经过通宵分析及排查,最终确定该事件是一起精心策划的定向攻击事件,所幸该攻击刚开始便被腾讯安全御见威胁情报中心率先拦截查杀,影响并未进一步扩大。

图片默认标题_fororder_0_副本

(图:驱动人生公司针对此次事件发布官方声明)

  此款病毒自12月14日约14点,利用“驱动人生”、“人生日历”等软件最早开始传播,感染用户机器后,会利用“永恒之蓝”高危漏洞在企业内网呈蠕虫式传播,并通过云控下发恶意代码,继而进行收集用户信息、挖门罗币等不法行为。

  腾讯安全专家经过分析排查发现,病毒作者早在一个多月前,便开始收集驱动人生公司信息,包括办公出口IP,开发运维岗位员工名册和部分服务器内网IP等,并可能嗅探确认了被修改的远程桌面端口。11月12日,一个显示所在地为“荷兰”的可疑登陆源登陆了驱动人生公司的运维跳板机和编译机,基本确认是攻击者通过代理登陆来隐藏痕迹。

  11月13日,攻击者对192内网段所有机器都发起了SMB爆破。值得注意的是,攻击者在尝试爆破时,使用了4位驱动人生公司的后台开发、运维员工的姓名拼音作为用户名尝试,包括一位已离职约半年的员工。而从爆破开始到结束,全过程用时极短且爆破次数极少,仅20余次,因此腾讯安全专家推测,爆破的密码字典非常有限,反映出攻击者已熟知这些员工信息。11月15日,攻击者使用某运维账号登录到升级服务器103.56.77.23;12月4日,攻击者又使用administrator账号再次登录到该升级服务器。

  12月5日,攻击者注册了本次攻击中所使用的模仿下载域名ackng.com,准备发起攻击。12月13日,攻击者再次使用administrator账号登录到上述升级服务器,疑似进行登陆服务器配置方案分析。12月14日,攻击者在升级服务器上备份并修改ServerConfig.xml文件,同时登录SQL数据库后插入恶意下载链接条目,随后删除插入的条目。12月15日,攻击者再次登陆升级服务器,删除各类操作记录,同时还原了ServerConfig.xml文件,企图销毁攻击痕迹。至此,整个攻击活动已被腾讯企业安全应急响应中心完整还原,同时深圳市网安计算机安全检测有限公司也为攻击活动的溯源排查提供重要线索。

图片默认标题_fororder_00_副本

(图:不法黑客攻击时间轴)

  回顾这次的木马病毒事件,可以发现,这是一次有针对性的定向攻击活动,攻击者掌握了驱动人生公司众多内部信息,在公司内网潜伏长达一个半月后,利用公司技术人员出国团建的攻防薄弱时间发起攻击行动。腾讯安全专家指出,与以往大部分APT攻击活动为了窃取敏感资料、破坏关键设施等不同,本次攻击的病毒传播者显然意在利用攻击活动牟取经济利益。该攻击者试图利用驱动人生公司的系列软件进行供应链攻击,构建僵尸网络,以此持续获利。根据腾讯安全团队的监测数据,该次攻击在短短两小时内感染超过十万台机器。虽然攻击者在4小时后,主动还原了相关配置,但木马通过永恒之蓝漏洞扩散,已形成持续传播。

  该次木马攻击最终在腾讯安全御见威胁情报中心的率先预警下,以及驱动人生公司停止updrv.com服务器DNS解析、升级服务器升级组件等相关举措下被及时阻断,避免了进一步扩散发酵,但仍然对用户造成了较明显的伤害。

图片默认标题_fororder_0952192Q0-2_副本

(图:腾讯御界高级威胁检测系统成功感知该威胁)

  由此,腾讯安全专家也呼吁互联网企业,应高度重视内部网络安全体系建设,主动排查和处理安全隐患,在软件产品研发、测试、交付阶段引入合规审计流程,避免再次出现类似安全事故。同时,广大企业用户也应提高警惕,及时升级系统、修补漏洞,并推荐部署腾讯御界高级威胁检测系统检测可能的恶意病毒攻击。

国际在线版权与信息产品内容销售的声明:

1、“国际在线”由中国国际广播电台主办。经中国国际广播电台授权,国广国际在线网络(北京)有限公司独家负责“国际在线”网站的市场经营。

2、凡本网注明“来源:国际在线”的所有信息内容,未经书面授权,任何单位及个人不得转载、摘编、复制或利用其他方式使用。

3、“国际在线”自有版权信息(包括但不限于“国际在线专稿”、“国际在线消息”、“国际在线XX消息”“国际在线报道”“国际在线XX报道”等信息内容,但明确标注为第三方版权的内容除外)均由国广国际在线网络(北京)有限公司统一管理和销售。

已取得国广国际在线网络(北京)有限公司使用授权的被授权人,应严格在授权范围内使用,不得超范围使用,使用时应注明“来源:国际在线”。违反上述声明者,本网将追究其相关法律责任。

任何未与国广国际在线网络(北京)有限公司签订相关协议或未取得授权书的公司、媒体、网站和个人均无权销售、使用“国际在线”网站的自有版权信息产品。否则,国广国际在线网络(北京)有限公司将采取法律手段维护合法权益,因此产生的损失及为此所花费的全部费用(包括但不限于律师费、诉讼费、差旅费、公证费等)全部由侵权方承担。

4、凡本网注明“来源:XXX(非国际在线)”的作品,均转载自其它媒体,转载目的在于传递更多信息,丰富网络文化,此类稿件并不代表本网赞同其观点和对其真实性负责。

5、如因作品内容、版权和其他问题需要与本网联系的,请在该事由发生之日起30日内进行。

来源:国际在线

 

 

      

上一篇: 腾讯安全预警:KoiMiner木马再活跃 控制者或来自黑客论坛
下一篇: 嘿,粉我吧节后充电了

 
推荐资讯
· 敬业集团子公司云南腾冲冀滇石业有限
· 中国建党100周年党政类学术资源的
· 石梅空降酷狗飙升榜TOP4,被誉为
· 情歌疗伤女王石梅全新超短发造型颠覆
· 宿迁艾草芳华视力修复总代理商招区县
· 北京蜜麻花线下母婴生活馆石家庄店开
· “刷脸”创新商业模式步入唐山市,共
· 双胞胎面临宫内窒息 远东
· 【网库公益】别拦我!前面是最美稻乡
· 蜜麻花母婴:蜜麻花石家庄分公司即将
 
相关资讯
· 华东商业峰会完美闭幕,51Club
· 从20%到28%,联拓数科的数字化
· 失败率80%,企业数字化转型究竟如
· 51Club+惊艳亮相第4届厦门国
· 腾讯安全携手GeekPwn2019
· GeekPwn 2019
· 流氓软件下载器上演“空手套白狼”&
· 剧透国际安全圈“新风向” 
· 腾讯安全升级企鹅守护功能 
· 腾讯安全亮相2019MOSEC移动
 
联系我们
 
品牌宣传编辑部
客服联系电话:010-52487360
QQ:840573529
业务咨询电话:010-52487360
QQ:593634808
投稿、投诉邮箱:lucky.27@126.com
QQ:840573529
Copyright 2003-2010 品牌网 Inc All Rights Reserved
京ICP备10040773号