【转】“驱动人生”：老病毒翻出新花样

2023-06-19 11:00 作者:小林家的垃圾王R 0人读过 | 我要投稿

“驱动人生”：老病毒翻出新花样

深信服千里目举报

2021-09-24 14:41 137599

背景概述

近日，深信服终端安全团队捕捉到“驱动人生”病毒的新变种，并通过云端的威胁情报系统监测到海内外已有大量终端被感染。“驱动人生”病毒自2018年出现，至今出现多个变种，不断进行技术优化以躲避安全软件的查杀监测。

该病毒利用永恒之蓝漏洞、SMBGhost漏洞等多种高危漏洞对Windows、Linux下的主机进行入侵感染，在入侵成功之后不仅会下载挖矿文件进行挖矿，还会释放传播模块继续入侵感染其他终端，并且病毒所使用的Powershell脚本经过多层混淆用以逃避安全软件的查杀。

“驱动人生”病毒变种跟踪图

点击查看相关的分析文章

1.《谨防“驱动人生”升级通道木马病毒恶意传播》

2.《警惕“驱动人生”木马最新变种袭击MSSQL数据库》

3.《借鸡生蛋！“驱动人生”挖矿木马使用Outlaw僵尸网络模块进行广泛传播》

根据威胁情报查询此次新变种利用的域名信息，创建时间于9月初，说明该变种刚开始传播不久。

病毒运行流程

Windows

https://t[.]m7n0y.com/*.jsp 会卸载部分杀毒软件；

在如下位置创建计划任务：

\[随机字符串1]

\[随机字符串1]\[随机字符串2]

\Microsoft\Windows\[随机字符串1]\[随机字符串2]

如果WMI中没有检测到名为blsckbell的事件过滤器，则会创建多个随机名称的WMI过滤器和WMI消费者驻留项；

计划任务和WMI中执行的代码内容主要为释放挖矿程序、if.bin和kr.bin模块；

病毒还会将 C:\Windows\System32\Windowspowershell\V1.0\powershell.exe 重命名为随机字符，后续使用随机字符命名的powershell执行挖矿脚本等命令，给管理员编写脚本批量清除这些进程增加了难度

If.bin模块分析

If.bin 是传播模块，主要功能为暴力破解和漏洞利用，并然后在成功入侵其他主机后持续传播病毒。

1.内网IP收集：传播阶段需要获取目标IP列表，病毒默认扫描192.168.*.*、10.0.*.*、172.16.*.* 中的数个C段地址，并会通过ipconfig、GetHostByName、收集外网地址等方式扩充扫描IP地址段。

2.密码收集：病毒内置了部分常用的用户名和弱密码，列表如下图：

在实行暴力破解之前，还会使用 mimikatz 模块获取本机的密码，用以扩充现有的密码表，增加爆破成功概率（由此可见，不同主机使用相同密码危害有多大）

3.暴力破解和漏洞利用

针对的服务列表如下：

执行暴力破解前会检查65529端口，这是xmrig挖矿进程监听的端口，避免主机被重复感染。

4.传播阶段

通过暴力破解、漏洞利用等方式成功获取到其他主机的权限之后，会直接尝试在主机中执行powershell或shell命令，从 https://t[.]m7n0y.com/*.jsp (Windows)或 https://t[.]m7n0y.com/ln/core.png (Linux) 中下载并执行启动脚本，进行新一轮的感染。