用野火燒不盡，春風吹又生，來形容“死而不滅”的殭屍網路最合適不過。6月9日，360安全大腦監測到“驅動人生”殭屍網路的高危異動，其原有的殭屍模組進行大規模更新，增加“SMBv3漏洞利用”模組與“Redis未授權訪問漏洞利用”模組，意圖利用最新曝光的高危“蠕蟲式”漏洞，擴充套件入侵範圍感染更多計算機謀利。

經360安全大腦分析發現，SMBv3漏洞（又稱SMBGhost漏洞，CVE-2020-0796）所具備的“零接觸遠端”攻陷受害目標機器的特性，對“驅動人生”殭屍網路擴散簡直如虎添翼，如不加以防範，極可能誘發新一輪的殭屍網路肆虐。不過廣大使用者不必過分擔心，360安全衛士不僅已在第一時間支援SMBv3漏洞的無補丁修復，並可高效攔截查殺“驅動人生”殭屍網路攻擊。

“驅動人生”殭屍網路撿漏王

攻擊模組抄底更新“蠕蟲級”漏洞

“驅動人生”殭屍網路模組更新，或許是一場長期且有預謀的網路“撿漏”。360安全大腦監測資料顯示，幾天前國外安全研究人員曾通過網路公開SMBv3零接觸遠端漏洞利用程式碼，而“驅動人生”殭屍網路緊隨其後，迅速將該漏洞收入武器庫“為我所用”，以圖升級殭屍網路的攻擊力。

從360安全大腦此前披露的漏洞資訊來看，SMBv3漏洞（CVE-2020-0796）是一個高危的零接觸遠端程式碼執行漏洞，可在無任何互動情況下，致使目標被非授權控制。這也就意味著，SMBv3漏洞一旦被“驅動人生”殭屍網路惡意利用，恐將在短時間內大幅度提升殭屍網路的“感染性”。

SMBv3漏洞攻擊模組

360安全大腦監測資料顯示，“驅動人生”殭屍網路新增的SMBv3漏洞攻擊模組，具體函式名為smbghost_exec。該函式會從hxxp://d.ackng.com/smgh.bin下載SMBv3漏洞攻擊程式並釋放到目標機器中。

需要注意的是，經過上述操作攻陷目標機器後，SMBv3漏洞攻擊模組還會執行下圖所示命令，使感染目標淪為“驅動人生”殭屍網路的一個節點，進而對其他機器發起攻擊。鑑於SMBv3漏洞影響範圍覆蓋Windows 10 1903及以上版本的特性，其威脅不言而喻。

SMBv3零接觸遠端漏洞攻擊後執行的命令

二次更新linux攻擊模組

360安全大腦斬斷殭屍網路不死賊心

360安全大腦還在監測資料中發現，此次 “驅動人生”殭屍網路更新中，還增加了對Redis未授權訪問漏洞的利用模組。該模組會掃描存在該漏洞的linux伺服器，並在目標伺服器中建立計劃任務，讓感染的linux伺服器，慘變殭屍網路的新“傳染源”。值得一提的是，這是360安全大腦監測到新增SSH爆破模組之後，“驅動人生”殭屍網路第二個針對linux伺服器的攻擊模組更新。

Redis未授權訪問漏洞攻擊模組

自2018年，“驅動人生”木馬2小時感染10萬電腦，驚爆網路至今，“驅動人生”殭屍網路從未停止網路非法淘金的步伐。而從360安全大腦監測資料顯示，截至目前，SMB爆破（包括Pass the Hash攻擊）模組和永恆之藍漏洞攻擊模組，是“驅動人生”挖礦殭屍網路中危害最大的攻擊模組，多數被感染計算機均源自上述兩模組。

 “驅動人生”挖礦殭屍網路各攻擊模組攻擊機器數量一覽

漏洞與利用共生，而隨著新漏洞利用程式碼的面世，將有越來越多的漏洞利用程式碼，被“驅動人生”殭屍網路收為己用，成為新的攻擊模組，危及網路安全。目前，在360安全大腦的極智賦能下，360安全衛士不僅在SMBv3零接觸遠端漏洞曝出的第一時間，率先支援無補丁漏洞修復，更可高效攔截包括“驅動人生”殭屍網路在內的各類攻擊威脅，保障使用者網路安全。

最後，針對威脅不斷升級的“驅動人生”殭屍網路，360安全大腦給出以下幾點安全建議：

1、前往weishi.360.cn下載安裝360安全衛士，有效攔截此類漏洞利用威脅；

2、及時更新電腦系統，定期檢測軟體安全漏洞，第一時間修補補丁；

3、發現電腦異常時，及時使用360安全衛士進行體檢掃描，查殺病毒木馬；

4、提高安全意識，不隨意點選來源不明的郵件、文件、連結等，並定期為作業系統、IE、Flash等常用軟體打好補丁。

5、開啟360安全衛士“網頁安全防護”功能，辨別各類虛假詐騙網頁，攔截釣魚網站、危險連結，保障計算機資訊保安。