“驅動人生”蠕蟲病毒出現新變種:可嚴重威脅Linux終端
目前,“火絨威脅情報系統”監測到,“驅動人生”蠕蟲病毒(又名“DTStealer”、“LemonDuck”或者“永恒之藍下載器”)出現了新的變種:通過在Windows中毒終端下發SSH暴破相關模塊,對互聯網中的Linux終端進行暴破攻擊。當前,也已有企業用戶陸續向火絨反饋該病毒問題。火絨工程師提醒廣大用戶,尤其企業用戶,請及時排查。
火絨查殺圖
火絨用戶無需擔心,火絨已對“驅動人生”蠕蟲病毒進行查殺。同時,火絨已經升級相應的系統加固(系統免疫)攔截規則,可以攔截該病毒的主要惡意行為,如果用戶在使用中發現有病毒觸發該攔截項,建議用戶及時全盤查殺,并對局域網內的其他終端進行排查。
火絨系統加固攔截圖
火絨Web服務保護攔截圖
根據火絨工程師分析,此病毒會進行橫向傳播、下載挖礦病毒、安裝后門病毒,Windows和Linux都是他的傳播目標。除此之外還增加了針對Linux平臺服務器的漏洞攻擊邏輯,病毒使用的漏洞包括:Yarn 未授權訪問漏洞、Redis 未授權訪問漏洞、Weblogic(CVE-2020-14882)、Elasticsearch(CVE-2015-1427)、Solr(CVE-2019-0193)、Docker(Remote API)。病毒更新后,可能造成更多的Linux終端受到該病毒的影響。
事實上,蠕蟲病毒擅長利用漏洞攻擊或者橫向滲透進行傳播,從而大面積感染目標設備。”驅動人生”蠕蟲病毒更是不斷升級漏洞攻擊、暴破攻擊形式和手段,嚴重影響終端安全。在近幾年的時間里,火絨安全團隊也對“驅動人生”蠕蟲病毒進行了持續跟蹤:
2018年12月,火絨工程師發現“驅動人生”旗下多款軟件攜帶后門病毒DTStealer,僅半天時間感染了數萬臺電腦(補充鏈接1);2020年,火絨監測到“LemonDuck”通過多種暴破方式(SMB暴破,RDP暴破,SQLServer暴破)和漏洞(USBLnk漏洞,永恒之藍漏洞)傳播(補充鏈接2)。
近年來,火絨也不斷升級查殺和防護技術,從而有效阻止類似“驅動人生“蠕蟲病毒在內網肆意傳播的現象:如【遠程登錄防護】功能,可以有效抵擋病毒的RDP、SMB等暴破行為。火絨個人版和企業版2.0也已上線【橫向滲透防護】功能,可以有效攔截后續滲透入侵行為,做到阻斷病毒在局域網內擴散,避免終端受到病毒的影響。
一、詳細分析
Windows終端下的病毒分析
使用Putty進行暴破攻擊,如下圖所示:
使用Putty進行暴破攻擊
Putty暴破攻擊相關代碼,如下圖所示:
Putty暴破攻擊相關代碼
漏洞利用相關代碼,如下圖所示:
漏洞利用相關代碼
新增的攻擊方式,如下圖所示:
新增的攻擊方式
Linux終端下的病毒分析
刪除挖礦軟件,如下圖所示:
刪除挖礦軟件
通過聯網IP結束其他挖礦病毒進程,如下圖所示:
通過聯網IP結束其他挖礦病毒進程
下載Linux挖礦病毒,如下圖所示:
下載Linux挖礦病毒
借助SSH橫向傳播,如下圖所示:
借助SSH橫向傳播
二、附錄
樣本hash
