信息來源:FreeBuf
近日�����,瑞星安全專家在追蹤病毒線索時(shí)����,發(fā)現(xiàn)知名沙盒Hybrid Analysis網(wǎng)站數(shù)據(jù)被“驅(qū)動(dòng)人生木馬”污染,導(dǎo)致大量的檢測結(jié)果均顯示惡意����。瑞星安全專家第一時(shí)間通知了Hybrid Analysis官方,隨后國外不少用戶和安全研究人員開始跟帖討論��,自己從Hybrid Analysis網(wǎng)站得到的分析數(shù)據(jù)出現(xiàn)問題�����。
圖:瑞星安全專家第一時(shí)間通知了Hybrid Analysis官方
瑞星安全研究院監(jiān)測到自2018年底攻擊者入侵了驅(qū)動(dòng)人生的服務(wù)器��,植入挖礦木馬感染了一大批用戶以來���,已頻繁更新了多個(gè)病毒版本�����,除使用永恒之藍(lán)漏洞攻擊��、SMB弱口令攻擊之外����,最新版本還增加了MS SQL數(shù)據(jù)庫弱口令攻擊�,危害進(jìn)一步增強(qiáng)���,國內(nèi)不少企業(yè)深受其害。
然而一波未平一波又起��,病毒作者可能也沒有想到���,病毒已影響到國外一家叫做“Payload-Security”安全公司(現(xiàn)已被CrowdStrike收購)的一個(gè)重要產(chǎn)品——Hybrid Analysis惡意軟件在線分析系統(tǒng)�。Hybrid Analysis在安全圈內(nèi)十分出名�,被全球眾多的安全研究人員所使用,以用來對惡意軟件進(jìn)行混合分析�����、提取威脅指標(biāo)并關(guān)聯(lián)惡意家族�����。
圖:Hybrid Analysis惡意軟件在線分析網(wǎng)站
此次�����,瑞星安全專家發(fā)現(xiàn)其它家族的病毒在Hybrid Analysis上竟然出現(xiàn)了“驅(qū)動(dòng)人生木馬”的威脅指標(biāo)���,測試了多個(gè)不同的惡意軟件家族后均發(fā)現(xiàn)此問題����,瑞星安全專家又掃描了一些安全的文件和網(wǎng)頁也均報(bào)毒���,都檢測出了“驅(qū)動(dòng)人生木馬”的控制服務(wù)器���。進(jìn)一步分析發(fā)現(xiàn),病毒在Hybrid Analysis沙盒內(nèi)網(wǎng)中傳播�����,感染了大量沙盒系統(tǒng)��。經(jīng)分析發(fā)現(xiàn)���,弱口令和相同密碼是導(dǎo)致眾多沙盒反復(fù)被植入病毒的主要原因�。
瑞星安全專家提醒����,“Payload-Security”如此專業(yè)的安全公司,由于網(wǎng)絡(luò)防范不足��,病毒通過弱口令在眾多業(yè)務(wù)機(jī)器之間來回攻擊��,導(dǎo)致分析數(shù)據(jù)被污染,未來可能不得不停機(jī)維護(hù)才能夠徹底消除此問題���。
因此��,對于企業(yè)來說�,網(wǎng)絡(luò)安全意識�、網(wǎng)絡(luò)的合理部署和系統(tǒng)的正確配置都是至關(guān)重要的環(huán)節(jié)。國內(nèi)被攻擊的企業(yè)中�����,大多是由于沒有更新永恒之藍(lán)補(bǔ)丁�����,或使用了弱口令和相同密碼才導(dǎo)致網(wǎng)絡(luò)安全威脅產(chǎn)生的�����,因此為了防止出現(xiàn)類似的病毒事件��,企業(yè)應(yīng)提高安全意識��,并及時(shí)修復(fù)漏洞和弱口令等問題�����。
攻擊事件分析
通過樣本分析可以看到�,除了部分開機(jī)時(shí)間較短,就還原了快照的沙盒之外�,無論分析什么樣本,大多數(shù)的分析結(jié)果都顯示訪問了“驅(qū)動(dòng)人生木馬”的控制服務(wù)器�����。
圖:被污染的結(jié)果
圖:檢測到的網(wǎng)絡(luò)請求
創(chuàng)建計(jì)劃任務(wù):
圖:創(chuàng)建計(jì)劃任務(wù)
下載的挖礦模塊:
圖:挖礦模塊
內(nèi)置弱口令列表���,通過永恒之藍(lán)漏洞和弱口令進(jìn)行攻擊的模塊�����。
圖:攻擊模塊
抓取本機(jī)密碼����,用抓取的密碼攻擊其它機(jī)器����,Hybrid Analysis 有可能使用的是相同密碼或者弱口令,因此導(dǎo)致其它沙盒反復(fù)被植入此病毒�����,污染沙盒檢測結(jié)果。
圖:調(diào)用抓密碼腳本
