信息來(lái)源:FreeBuf
近日,瑞星安全專(zhuān)家在追蹤病毒線(xiàn)索時(shí),發(fā)現(xiàn)知名沙盒Hybrid Analysis網(wǎng)站數(shù)據(jù)被“驅(qū)動(dòng)人生木馬”污染,導(dǎo)致大量的檢測(cè)結(jié)果均顯示惡意。瑞星安全專(zhuān)家第一時(shí)間通知了Hybrid Analysis官方,隨后國(guó)外不少用戶(hù)和安全研究人員開(kāi)始跟帖討論,自己從Hybrid Analysis網(wǎng)站得到的分析數(shù)據(jù)出現(xiàn)問(wèn)題。
圖:瑞星安全專(zhuān)家第一時(shí)間通知了Hybrid Analysis官方
瑞星安全研究院監(jiān)測(cè)到自2018年底攻擊者入侵了驅(qū)動(dòng)人生的服務(wù)器,植入挖礦木馬感染了一大批用戶(hù)以來(lái),已頻繁更新了多個(gè)病毒版本,除使用永恒之藍(lán)漏洞攻擊、SMB弱口令攻擊之外,最新版本還增加了MS SQL數(shù)據(jù)庫(kù)弱口令攻擊,危害進(jìn)一步增強(qiáng),國(guó)內(nèi)不少企業(yè)深受其害。
然而一波未平一波又起,病毒作者可能也沒(méi)有想到,病毒已影響到國(guó)外一家叫做“Payload-Security”安全公司(現(xiàn)已被CrowdStrike收購(gòu))的一個(gè)重要產(chǎn)品——Hybrid Analysis惡意軟件在線(xiàn)分析系統(tǒng)。Hybrid Analysis在安全圈內(nèi)十分出名,被全球眾多的安全研究人員所使用,以用來(lái)對(duì)惡意軟件進(jìn)行混合分析、提取威脅指標(biāo)并關(guān)聯(lián)惡意家族。
圖:Hybrid Analysis惡意軟件在線(xiàn)分析網(wǎng)站
此次,瑞星安全專(zhuān)家發(fā)現(xiàn)其它家族的病毒在Hybrid Analysis上竟然出現(xiàn)了“驅(qū)動(dòng)人生木馬”的威脅指標(biāo),測(cè)試了多個(gè)不同的惡意軟件家族后均發(fā)現(xiàn)此問(wèn)題,瑞星安全專(zhuān)家又掃描了一些安全的文件和網(wǎng)頁(yè)也均報(bào)毒,都檢測(cè)出了“驅(qū)動(dòng)人生木馬”的控制服務(wù)器。進(jìn)一步分析發(fā)現(xiàn),病毒在Hybrid Analysis沙盒內(nèi)網(wǎng)中傳播,感染了大量沙盒系統(tǒng)。經(jīng)分析發(fā)現(xiàn),弱口令和相同密碼是導(dǎo)致眾多沙盒反復(fù)被植入病毒的主要原因。
瑞星安全專(zhuān)家提醒,“Payload-Security”如此專(zhuān)業(yè)的安全公司,由于網(wǎng)絡(luò)防范不足,病毒通過(guò)弱口令在眾多業(yè)務(wù)機(jī)器之間來(lái)回攻擊,導(dǎo)致分析數(shù)據(jù)被污染,未來(lái)可能不得不停機(jī)維護(hù)才能夠徹底消除此問(wèn)題。
因此,對(duì)于企業(yè)來(lái)說(shuō),網(wǎng)絡(luò)安全意識(shí)、網(wǎng)絡(luò)的合理部署和系統(tǒng)的正確配置都是至關(guān)重要的環(huán)節(jié)。國(guó)內(nèi)被攻擊的企業(yè)中,大多是由于沒(méi)有更新永恒之藍(lán)補(bǔ)丁,或使用了弱口令和相同密碼才導(dǎo)致網(wǎng)絡(luò)安全威脅產(chǎn)生的,因此為了防止出現(xiàn)類(lèi)似的病毒事件,企業(yè)應(yīng)提高安全意識(shí),并及時(shí)修復(fù)漏洞和弱口令等問(wèn)題。
攻擊事件分析
通過(guò)樣本分析可以看到,除了部分開(kāi)機(jī)時(shí)間較短,就還原了快照的沙盒之外,無(wú)論分析什么樣本,大多數(shù)的分析結(jié)果都顯示訪(fǎng)問(wèn)了“驅(qū)動(dòng)人生木馬”的控制服務(wù)器。
圖:被污染的結(jié)果
圖:檢測(cè)到的網(wǎng)絡(luò)請(qǐng)求
創(chuàng)建計(jì)劃任務(wù):
圖:創(chuàng)建計(jì)劃任務(wù)
下載的挖礦模塊:
圖:挖礦模塊
內(nèi)置弱口令列表,通過(guò)永恒之藍(lán)漏洞和弱口令進(jìn)行攻擊的模塊。
圖:攻擊模塊
抓取本機(jī)密碼,用抓取的密碼攻擊其它機(jī)器,Hybrid Analysis 有可能使用的是相同密碼或者弱口令,因此導(dǎo)致其它沙盒反復(fù)被植入此病毒,污染沙盒檢測(cè)結(jié)果。
圖:調(diào)用抓密碼腳本