驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端

admin 2022年1月17日23:19:23评论83 views字数 1353阅读4分30秒阅读模式
驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端

目前,“火绒威胁情报系统”监测到,“驱动人生”蠕虫病毒(又名“DTStealer”、“LemonDuck”或者“永恒之蓝下载器”)出现了新的变种:通过在Windows中毒终端下发SSH暴破相关模块,对互联网中的Linux终端进行暴破攻击。当前,也已有企业用户陆续向火绒反馈该病毒问题。火绒工程师提醒广大用户,尤其企业用户,请及时排查。

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
火绒查杀图

火绒用户无需担心,火绒已对“驱动人生”蠕虫病毒进行查杀。同时,火绒已经升级相应的系统加固(系统免疫)拦截规则,可以拦截该病毒的主要恶意行为,如果用户在使用中发现有病毒触发该拦截项,建议用户及时全盘查杀,并对局域网内的其他终端进行排查。

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
火绒系统加固拦截图

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端

火绒Web服务保护拦截图

 
根据火绒工程师分析,此病毒会进行横向传播、下载挖矿病毒、安装后门病毒,Windows和Linux都是他的传播目标。除此之外还增加了针对Linux平台服务器的漏洞攻击逻辑,病毒使用的漏洞包括:Yarn 未授权访问漏洞、Redis 未授权访问漏洞、Weblogic(CVE-2020-14882)、Elasticsearch(CVE-2015-1427)、Solr(CVE-2019-0193)、Docker(Remote API)。病毒更新后,可能造成更多的Linux终端受到该病毒的影响。
 
事实上,蠕虫病毒擅长利用漏洞攻击或者横向渗透进行传播,从而大面积感染目标设备。”驱动人生”蠕虫病毒更是不断升级漏洞攻击、暴破攻击形式和手段,严重影响终端安全。在近几年的时间里,火绒安全团队也对“驱动人生”蠕虫病毒进行了持续跟踪:
 
2018年12月,火绒工程师发现“驱动人生”旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑(补充链接1);2020年,火绒监测到“LemonDuck”通过多种暴破方式(SMB暴破,RDP暴破,SQLServer暴破)和漏洞(USBLnk漏洞,永恒之蓝漏洞)传播(补充链接2)
 
近年来,火绒也不断升级查杀和防护技术,从而有效阻止类似“驱动人生“蠕虫病毒在内网肆意传播的现象:如【远程登录防护】功能,可以有效抵挡病毒的RDP、SMB等暴破行为。火绒个人版和企业版2.0也已上线【横向渗透防护】功能,可以有效拦截后续渗透入侵行为,做到阻断病毒在局域网内扩散,避免终端受到病毒的影响。

 
驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端

一、详细分析

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端

Windows终端下的病毒分析

使用Putty进行暴破攻击,如下图所示:

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
使用Putty进行暴破攻击

Putty暴破攻击相关代码,如下图所示:

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
Putty暴破攻击相关代码
 
漏洞利用相关代码,如下图所示:

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
漏洞利用相关代码

新增的攻击方式,如下图所示:

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
新增的攻击方式

Linux终端下的病毒分析

删除挖矿软件,如下图所示:
 
驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
删除挖矿软件

通过联网IP结束其他挖矿病毒进程,如下图所示:

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
通过联网IP结束其他挖矿病毒进程

下载Linux挖矿病毒,如下图所示:

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
下载Linux挖矿病毒

借助SSH横向传播,如下图所示:

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
借助SSH横向传播


驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端

二、附录

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端

样本hash

驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端
 


补充阅读链接

1、“驱动人生”利用高危漏洞传播病毒 12月14日半天感染数万台电脑
2、蠕虫病毒“柠檬鸭”持续扩散多种暴破方式攻击用户电脑


驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端


“驱动人生”蠕虫病毒出现新变种:可严重威胁Linux终端



本文始发于微信公众号(火绒安全实验室):“驱动人生”蠕虫病毒出现新变种:可严重威胁Linux终端

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月17日23:19:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   驱动人生蠕虫病毒出现新变种:可严重威胁Linux终端http://cn-sec.com/archives/472385.html

发表评论

匿名网友 填写信息