新增攻擊模塊二次染指linux服務器，“驅動人生”僵尸網絡全網撒毒賊心不死

用野火燒不盡，春風吹又生，來形容“死而不滅”的僵尸網絡最合適不過。6月9日，360安全大腦監(jiān)測到“驅動人生”僵尸網絡的高危異動，其原有的僵尸模塊進行大規(guī)模更新，增加“SMBv3漏洞利用”模塊與“Redis未授權訪問漏洞利用”模塊，意圖利用最新曝光的高危“蠕蟲式”漏洞，擴展入侵范圍感染更多計算機謀利。

經360安全大腦分析發(fā)現(xiàn)，SMBv3漏洞(又稱SMBGhost漏洞，CVE-2020-0796)所具備的“零接觸遠程”攻陷受害目標機器的特性，對“驅動人生”僵尸網絡擴散簡直如虎添翼，如不加以防范，極可能誘發(fā)新一輪的僵尸網絡肆虐。不過廣大用戶不必過分擔心，360安全衛(wèi)士不僅已在第一時間支持SMBv3漏洞的無補丁修復，并可高效攔截查殺“驅動人生”僵尸網絡攻擊。

“驅動人生”僵尸網絡撿漏王，攻擊模塊抄底更新“蠕蟲級”漏洞

“驅動人生”僵尸網絡模塊更新，或許是一場長期且有預謀的網絡“撿漏”。360安全大腦監(jiān)測數據顯示，幾天前國外安全研究人員曾通過網絡公開SMBv3零接觸遠程漏洞利用代碼，而“驅動人生”僵尸網絡緊隨其后，迅速將該漏洞收入武器庫“為我所用”，以圖升級僵尸網絡的攻擊力。

從360安全大腦此前披露的漏洞信息來看，SMBv3漏洞(CVE-2020-0796)是一個高危的零接觸遠程代碼執(zhí)行漏洞，可在無任何交互情況下，致使目標被非授權控制。這也就意味著，SMBv3漏洞一旦被“驅動人生”僵尸網絡惡意利用，恐將在短時間內大幅度提升僵尸網絡的“感染性”。

SMBv3漏洞攻擊模塊

360安全大腦監(jiān)測數據顯示，“驅動人生”僵尸網絡新增的SMBv3漏洞攻擊模塊，具體函數名為smbghost_exec。該函數會從hxxp://d.ackng.com/smgh.bin下載SMBv3漏洞攻擊程序并釋放到目標機器中。

需要注意的是，經過上述操作攻陷目標機器后，SMBv3漏洞攻擊模塊還會執(zhí)行下圖所示命令，使感染目標淪為“驅動人生”僵尸網絡的一個節(jié)點，進而對其他機器發(fā)起攻擊。鑒于SMBv3漏洞影響范圍覆蓋Windows 10 1903及以上版本的特性，其威脅不言而喻。

SMBv3零接觸遠程漏洞攻擊后執(zhí)行的命令

二次更新linux攻擊模塊，360安全大腦斬斷僵尸網絡不死賊心

360安全大腦還在監(jiān)測數據中發(fā)現(xiàn)，此次 “驅動人生”僵尸網絡更新中，還增加了對Redis未授權訪問漏洞的利用模塊。該模塊會掃描存在該漏洞的linux服務器，并在目標服務器中創(chuàng)建計劃任務，讓感染的linux服務器，慘變僵尸網絡的新“傳染源”。值得一提的是，這是360安全大腦監(jiān)測到新增SSH爆破模塊之后，“驅動人生”僵尸網絡第二個針對linux服務器的攻擊模塊更新。

Redis未授權訪問漏洞攻擊模塊

自2018年，“驅動人生”木馬2小時感染10萬電腦，驚爆網絡至今，“驅動人生”僵尸網絡從未停止網絡非法淘金的步伐。而從360安全大腦監(jiān)測數據顯示，截至目前，SMB爆破(包括Pass the Hash攻擊)模塊和永恒之藍漏洞攻擊模塊，是“驅動人生”挖礦僵尸網絡中危害最大的攻擊模塊，多數被感染計算機均源自上述兩模塊。

“驅動人生”挖礦僵尸網絡各攻擊模塊攻擊機器數量一覽

漏洞與利用共生，而隨著新漏洞利用代碼的面世，將有越來越多的漏洞利用代碼，被“驅動人生”僵尸網絡收為己用，成為新的攻擊模塊，危及網絡安全。目前，在360安全大腦的極智賦能下，360安全衛(wèi)士不僅在SMBv3零接觸遠程漏洞曝出的第一時間，率先支持無補丁漏洞修復，更可高效攔截包括“驅動人生”僵尸網絡在內的各類攻擊威脅，保障用戶網絡安全。

最后，針對威脅不斷升級的“驅動人生”僵尸網絡，360安全大腦給出以下幾點安全建議：

1、前往weishi.#下載安裝360安全衛(wèi)士，有效攔截此類漏洞利用威脅;

2、及時更新電腦系統(tǒng)，定期檢測軟件安全漏洞，第一時間修補補丁;

3、發(fā)現(xiàn)電腦異常時，及時使用360安全衛(wèi)士進行體檢掃描，查殺病毒木馬;

4、提高安全意識，不隨意點擊來源不明的郵件、文檔、鏈接等，并定期為操作系統(tǒng)、IE、Flash等常用軟件打好補丁。

5、開啟360安全衛(wèi)士“網頁安全防護”功能，辨別各類虛假詐騙網頁，攔截釣魚網站、危險鏈接，保障計算機信息安全。