【乾貨】纏鬥不休的 “驅動人生”下載器木馬，還有沒有未來？

        北京時間2月23日，360安全大腦監測發現利用“驅動人生”更新通道下發的挖礦木馬再次更新。在此次更新中，木馬的傳播模組新增了MsSQL資料庫弱口令爆破功能。截止目前，該木馬的傳播模組已經整合了“永恆之藍“漏洞攻擊、SMB爆破模攻擊以及MsSQL爆破攻擊三種攻擊模式。

        對比木馬更新前後傳播模組程式碼可以看出，木馬中新增了一組弱口令字典，該弱口令用於MsSQL資料庫爆破，爆破成功後在目標計算機中新增一個名為“k8h3d”的帳戶並植入後門，此外木馬還將目標計算機MsSQL資料庫的超級管理員密碼設為“ksa8hd4,m@~#$%^&*()”。

圖1 木馬進行MsSQL爆破的部分程式碼

        木馬總共使用72組弱口令對MsSQL資料庫進行爆破，其中大部分複用了Mykings殭屍網路爆破MsSQL資料庫時所使用的弱口令（詳見：https://www.freebuf.com/articles/web/146393.html）。

圖2 木馬使用的部分弱口令

         在經歷多次更新之後，透過“驅動人生”更新通道下發的挖礦木馬已經構建了一個極為龐大的殭屍網路，並且該殭屍網路還在不斷擴張中。圖3展示了透過“驅動人生”更新通道下發的挖礦木馬攻擊趨勢變化，不難看出當前該木馬處於持續上升階段，其構建的殭屍網路還在不斷壯大中。

圖3 透過“驅動人生”更新通道下發的挖礦木馬攻擊趨勢變化

防護建議

1.       使用強度較高的系統登入密碼與資料庫登入密碼；

2.       及時修補系統漏洞；

3.       使用360安全衛士保護電腦保安，目前，360安全衛士能阻止該木馬的攻擊。

IOC

8b1ac2f487e9b0a56fbe0a07f0e1f6f4