目前，“火绒威胁情报系统”监测到，“驱动人生”蠕虫病毒（又名“DTStealer”、“LemonDuck”或者“永恒之蓝下载器”）出现了新的变种：通过在Windows中毒终端下发SSH暴破相关模块，对互联网中的Linux终端进行暴破攻击。当前，也已有企业用户陆续向火绒反馈该病毒问题。火绒工程师提醒广大用户，尤其企业用户，请及时排查。

火绒查杀图

火绒用户无需担心，火绒已对“驱动人生”蠕虫病毒进行查杀。同时，火绒已经升级相应的系统加固（系统免疫）拦截规则，可以拦截该病毒的主要恶意行为，如果用户在使用中发现有病毒触发该拦截项，建议用户及时全盘查杀，并对局域网内的其他终端进行排查。

火绒系统加固拦截图

火绒Web服务保护拦截图

 

根据火绒工程师分析，此病毒会进行横向传播、下载挖矿病毒、安装后门病毒，Windows和Linux都是他的传播目标。除此之外还增加了针对Linux平台服务器的漏洞攻击逻辑，病毒使用的漏洞包括：Yarn 未授权访问漏洞、Redis 未授权访问漏洞、Weblogic（CVE-2020-14882）、Elasticsearch（CVE-2015-1427）、Solr（CVE-2019-0193）、Docker（Remote API）。病毒更新后，可能造成更多的Linux终端受到该病毒的影响。

 

事实上，蠕虫病毒擅长利用漏洞攻击或者横向渗透进行传播，从而大面积感染目标设备。”驱动人生”蠕虫病毒更是不断升级漏洞攻击、暴破攻击形式和手段，严重影响终端安全。在近几年的时间里，火绒安全团队也对“驱动人生”蠕虫病毒进行了持续跟踪：

 

2018年12月，火绒工程师发现“驱动人生”旗下多款软件携带后门病毒DTStealer，仅半天时间感染了数万台电脑（补充链接1）；2020年，火绒监测到“LemonDuck”通过多种暴破方式（SMB暴破，RDP暴破，SQLServer暴破）和漏洞（USBLnk漏洞，永恒之蓝漏洞）传播（补充链接2）。

 

近年来，火绒也不断升级查杀和防护技术，从而有效阻止类似“驱动人生“蠕虫病毒在内网肆意传播的现象：如【远程登录防护】功能，可以有效抵挡病毒的RDP、SMB等暴破行为。火绒个人版和企业版2.0也已上线【横向渗透防护】功能，可以有效拦截后续渗透入侵行为，做到阻断病毒在局域网内扩散，避免终端受到病毒的影响。

 

一、详细分析

Windows终端下的病毒分析

使用Putty进行暴破攻击,如下图所示:

使用Putty进行暴破攻击

Putty暴破攻击相关代码,如下图所示:

Putty暴破攻击相关代码

 

漏洞利用相关代码,如下图所示:

漏洞利用相关代码

新增的攻击方式,如下图所示:

新增的攻击方式

Linux终端下的病毒分析

删除挖矿软件,如下图所示:

 

删除挖矿软件

通过联网IP结束其他挖矿病毒进程,如下图所示:

通过联网IP结束其他挖矿病毒进程

下载Linux挖矿病毒,如下图所示:

下载Linux挖矿病毒

借助SSH横向传播,如下图所示:

借助SSH横向传播

二、附录

样本hash

 

补充阅读链接

1、“驱动人生”利用高危漏洞传播病毒 12月14日半天感染数万台电脑

2、蠕虫病毒“柠檬鸭”持续扩散多种暴破方式攻击用户电脑

本文始发于微信公众号（火绒安全实验室）：“驱动人生”蠕虫病毒出现新变种：可严重威胁Linux终端