新增攻擊模塊二次染指linux服務(wù)器，“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)全網(wǎng)撒毒賊心不死

用野火燒不盡，春風(fēng)吹又生，來(lái)形容“死而不滅”的僵尸網(wǎng)絡(luò)最合適不過(guò)。6月9日，360安全大腦監(jiān)測(cè)到“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)的高危異動(dòng)，其原有的僵尸模塊進(jìn)行大規(guī)模更新，增加“SMBv3漏洞利用”模塊與“Redis未授權(quán)訪問(wèn)漏洞利用”模塊，意圖利用最新曝光的高危“蠕蟲式”漏洞，擴(kuò)展入侵范圍感染更多計(jì)算機(jī)謀利。

經(jīng)360安全大腦分析發(fā)現(xiàn)，SMBv3漏洞(又稱SMBGhost漏洞，CVE-2020-0796)所具備的“零接觸遠(yuǎn)程”攻陷受害目標(biāo)機(jī)器的特性，對(duì)“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)擴(kuò)散簡(jiǎn)直如虎添翼，如不加以防范，極可能誘發(fā)新一輪的僵尸網(wǎng)絡(luò)肆虐。不過(guò)廣大用戶不必過(guò)分擔(dān)心，360安全衛(wèi)士不僅已在第一時(shí)間支持SMBv3漏洞的無(wú)補(bǔ)丁修復(fù)，并可高效攔截查殺“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)攻擊。

“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)撿漏王，攻擊模塊抄底更新“蠕蟲級(jí)”漏洞

“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)模塊更新，或許是一場(chǎng)長(zhǎng)期且有預(yù)謀的網(wǎng)絡(luò)“撿漏”。360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示，幾天前國(guó)外安全研究人員曾通過(guò)網(wǎng)絡(luò)公開SMBv3零接觸遠(yuǎn)程漏洞利用代碼，而“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)緊隨其后，迅速將該漏洞收入武器庫(kù)“為我所用”，以圖升級(jí)僵尸網(wǎng)絡(luò)的攻擊力。

從360安全大腦此前披露的漏洞信息來(lái)看，SMBv3漏洞(CVE-2020-0796)是一個(gè)高危的零接觸遠(yuǎn)程代碼執(zhí)行漏洞，可在無(wú)任何交互情況下，致使目標(biāo)被非授權(quán)控制。這也就意味著，SMBv3漏洞一旦被“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)惡意利用，恐將在短時(shí)間內(nèi)大幅度提升僵尸網(wǎng)絡(luò)的“感染性”。

SMBv3漏洞攻擊模塊

360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示，“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)新增的SMBv3漏洞攻擊模塊，具體函數(shù)名為smbghost_exec。該函數(shù)會(huì)從hxxp://d.ackng.com/smgh.bin下載SMBv3漏洞攻擊程序并釋放到目標(biāo)機(jī)器中。

需要注意的是，經(jīng)過(guò)上述操作攻陷目標(biāo)機(jī)器后，SMBv3漏洞攻擊模塊還會(huì)執(zhí)行下圖所示命令，使感染目標(biāo)淪為“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)的一個(gè)節(jié)點(diǎn)，進(jìn)而對(duì)其他機(jī)器發(fā)起攻擊。鑒于SMBv3漏洞影響范圍覆蓋Windows 10 1903及以上版本的特性，其威脅不言而喻。

SMBv3零接觸遠(yuǎn)程漏洞攻擊后執(zhí)行的命令

二次更新linux攻擊模塊，360安全大腦斬?cái)嘟┦W(wǎng)絡(luò)不死賊心

360安全大腦還在監(jiān)測(cè)數(shù)據(jù)中發(fā)現(xiàn)，此次 “驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)更新中，還增加了對(duì)Redis未授權(quán)訪問(wèn)漏洞的利用模塊。該模塊會(huì)掃描存在該漏洞的linux服務(wù)器，并在目標(biāo)服務(wù)器中創(chuàng)建計(jì)劃任務(wù)，讓感染的linux服務(wù)器，慘變僵尸網(wǎng)絡(luò)的新“傳染源”。值得一提的是，這是360安全大腦監(jiān)測(cè)到新增SSH爆破模塊之后，“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)第二個(gè)針對(duì)linux服務(wù)器的攻擊模塊更新。

Redis未授權(quán)訪問(wèn)漏洞攻擊模塊

自2018年，“驅(qū)動(dòng)人生”木馬2小時(shí)感染10萬(wàn)電腦，驚爆網(wǎng)絡(luò)至今，“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)從未停止網(wǎng)絡(luò)非法淘金的步伐。而從360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示，截至目前，SMB爆破(包括Pass the Hash攻擊)模塊和永恒之藍(lán)漏洞攻擊模塊，是“驅(qū)動(dòng)人生”挖礦僵尸網(wǎng)絡(luò)中危害最大的攻擊模塊，多數(shù)被感染計(jì)算機(jī)均源自上述兩模塊。

“驅(qū)動(dòng)人生”挖礦僵尸網(wǎng)絡(luò)各攻擊模塊攻擊機(jī)器數(shù)量一覽

漏洞與利用共生，而隨著新漏洞利用代碼的面世，將有越來(lái)越多的漏洞利用代碼，被“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)收為己用，成為新的攻擊模塊，危及網(wǎng)絡(luò)安全。目前，在360安全大腦的極智賦能下，360安全衛(wèi)士不僅在SMBv3零接觸遠(yuǎn)程漏洞曝出的第一時(shí)間，率先支持無(wú)補(bǔ)丁漏洞修復(fù)，更可高效攔截包括“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)在內(nèi)的各類攻擊威脅，保障用戶網(wǎng)絡(luò)安全。

最后，針對(duì)威脅不斷升級(jí)的“驅(qū)動(dòng)人生”僵尸網(wǎng)絡(luò)，360安全大腦給出以下幾點(diǎn)安全建議：

1、前往weishi.#下載安裝360安全衛(wèi)士，有效攔截此類漏洞利用威脅;

2、及時(shí)更新電腦系統(tǒng)，定期檢測(cè)軟件安全漏洞，第一時(shí)間修補(bǔ)補(bǔ)丁;

3、發(fā)現(xiàn)電腦異常時(shí)，及時(shí)使用360安全衛(wèi)士進(jìn)行體檢掃描，查殺病毒木馬;

4、提高安全意識(shí)，不隨意點(diǎn)擊來(lái)源不明的郵件、文檔、鏈接等，并定期為操作系統(tǒng)、IE、Flash等常用軟件打好補(bǔ)丁。

5、開啟360安全衛(wèi)士“網(wǎng)頁(yè)安全防護(hù)”功能，辨別各類虛假詐騙網(wǎng)頁(yè)，攔截釣魚網(wǎng)站、危險(xiǎn)鏈接，保障計(jì)算機(jī)信息安全。