用野火燒不盡,春風吹又生,來形容“死而不滅”的殭屍網路最合適不過。6月9日,360安全大腦監測到“驅動人生”殭屍網路的高危異動,其原有的殭屍模組進行大規模更新,增加“SMBv3漏洞利用”模組與“Redis未授權訪問漏洞利用”模組,意圖利用最新曝光的高危“蠕蟲式”漏洞,擴充套件入侵範圍感染更多計算機謀利。
經360安全大腦分析發現,SMBv3漏洞(又稱SMBGhost漏洞,CVE-2020-0796)所具備的“零接觸遠端”攻陷受害目標機器的特性,對“驅動人生”殭屍網路擴散簡直如虎添翼,如不加以防範,極可能誘發新一輪的殭屍網路肆虐。不過廣大使用者不必過分擔心,360安全衛士不僅已在第一時間支援SMBv3漏洞的無補丁修復,並可高效攔截查殺“驅動人生”殭屍網路攻擊。
“驅動人生”殭屍網路撿漏王
攻擊模組抄底更新“蠕蟲級”漏洞
“驅動人生”殭屍網路模組更新,或許是一場長期且有預謀的網路“撿漏”。360安全大腦監測資料顯示,幾天前國外安全研究人員曾透過網路公開SMBv3零接觸遠端漏洞利用程式碼,而“驅動人生”殭屍網路緊隨其後,迅速將該漏洞收入武器庫“為我所用”,以圖升級殭屍網路的攻擊力。
從360安全大腦此前披露的漏洞資訊來看,SMBv3漏洞(CVE-2020-0796)是一個高危的零接觸遠端程式碼執行漏洞,可在無任何互動情況下,致使目標被非授權控制。這也就意味著,SMBv3漏洞一旦被“驅動人生”殭屍網路惡意利用,恐將在短時間內大幅度提升殭屍網路的“感染性”。
SMBv3漏洞攻擊模組
360安全大腦監測資料顯示,“驅動人生”殭屍網路新增的SMBv3漏洞攻擊模組,具體函式名為smbghost_exec。該函式會從hxxp://d.ackng.com/smgh.bin下載SMBv3漏洞攻擊程式並釋放到目標機器中。
需要注意的是,經過上述操作攻陷目標機器後,SMBv3漏洞攻擊模組還會執行下圖所示命令,使感染目標淪為“驅動人生”殭屍網路的一個節點,進而對其他機器發起攻擊。鑑於SMBv3漏洞影響範圍覆蓋Windows 10 1903及以上版本的特性,其威脅不言而喻。
SMBv3零接觸遠端漏洞攻擊後執行的命令
二次更新linux攻擊模組
360安全大腦斬斷殭屍網路不死賊心
360安全大腦還在監測資料中發現,此次 “驅動人生”殭屍網路更新中,還增加了對Redis未授權訪問漏洞的利用模組。該模組會掃描存在該漏洞的linux伺服器,並在目標伺服器中建立計劃任務,讓感染的linux伺服器,慘變殭屍網路的新“傳染源”。值得一提的是,這是360安全大腦監測到新增SSH爆破模組之後,“驅動人生”殭屍網路第二個針對linux伺服器的攻擊模組更新。
Redis未授權訪問漏洞攻擊模組
自2018年,“驅動人生”木馬2小時感染10萬電腦,驚爆網路至今,“驅動人生”殭屍網路從未停止網路非法淘金的步伐。而從360安全大腦監測資料顯示,截至目前,SMB爆破(包括Pass the Hash攻擊)模組和永恆之藍漏洞攻擊模組,是“驅動人生”挖礦殭屍網路中危害最大的攻擊模組,多數被感染計算機均源自上述兩模組。
“驅動人生”挖礦殭屍網路各攻擊模組攻擊機器數量一覽
漏洞與利用共生,而隨著新漏洞利用程式碼的面世,將有越來越多的漏洞利用程式碼,被“驅動人生”殭屍網路收為己用,成為新的攻擊模組,危及網路安全。目前,在360安全大腦的極智賦能下,360安全衛士不僅在SMBv3零接觸遠端漏洞曝出的第一時間,率先支援無補丁漏洞修復,更可高效攔截包括“驅動人生”殭屍網路在內的各類攻擊威脅,保障使用者網路安全。
最後,針對威脅不斷升級的“驅動人生”殭屍網路,360安全大腦給出以下幾點安全建議:
1、前往weishi.360.cn下載安裝360安全衛士,有效攔截此類漏洞利用威脅;
2、及時更新電腦系統,定期檢測軟體安全漏洞,第一時間修補補丁;
3、發現電腦異常時,及時使用360安全衛士進行體檢掃描,查殺病毒木馬;
4、提高安全意識,不隨意點選來源不明的郵件、文件、連結等,並定期為作業系統、IE、Flash等常用軟體打好補丁。
5、開啟360安全衛士“網頁安全防護”功能,辨別各類虛假詐騙網頁,攔截釣魚網站、危險連結,保障計算機資訊保安。