安全大腦解析「驅動人生定向攻擊「最新動作:利用木馬控制電腦挖礦

2021-01-09 鳳凰網

2018年12月14日下午,360安全大腦監測到一批攜帶永恆之藍漏洞攻擊組件的下載器木馬,該類木馬主要通過「人生日曆」等驅動人生系列產品升級組件下發。14日晚間,360公司向廠商通報了相關情況,該下發活動已停止。截止目前,該木馬累計攻擊計算機超過6萬臺計算機(僅包括通過升級組件受到攻擊的情況,不含利用漏洞的二次攻擊情況,360安全衛士帶有永恆之藍漏洞免疫功能)。

半個月前,攻擊者通過域名dl.haqo.net 下發木馬;時隔半個月,360安全大腦監測到,攻擊者掌握大量肉雞後,通過新的域名d.haqo.net 再次下發挖礦木馬。而本次挖礦木馬新增下發通道域名d.haqo.net ,啟用解析的時間是2018年12月29日,距離最初爆發時的2018年12月14日已經過去半個月。被安全廠商聯合絞殺的半個月後還啟用新的惡意域名,說明黑客團夥足夠謹慎,也早有預謀。

從黑客伺服器下發的挖礦木馬分析來看,挖礦木馬由開源挖礦程序XMRig 修改編譯而來。挖礦木馬中內置了3 個以前沒被曝光過的礦池域名loop.haqo.net / loop2.haqo.net / loop.abbny.com ,挖礦木馬啟動之後,會與礦池域名的TCP:443 埠通信。目前3 個礦池地址,前兩個已經可以解析,最後一個loop.abbny.com 還沒有配置解析的IP 地址,算是備用域名。這也為未來攻擊行為埋下伏筆:如果前兩個礦池域名都被安全廠商攔截後無法繼續使用了,攻擊者可以啟用這一個礦池域名,使挖礦工作還能繼續進行。所以廣大用戶仍需提高警惕,及時安裝殺軟或升級病毒庫,清理殺毒。由此安全專家可以推測此事件背後惡意團夥的套路:先入侵「驅動人生」的伺服器,通過「驅動人生」的升級通道下發「永恆之藍」攻擊工具來擴散感染。最終,再向已經感染木馬的受害主機下發挖礦木馬來挖礦牟利。

360安全專家提醒:上次6萬臺被「驅動人生」升級感染的機器如果不及時做殺毒清理用戶,這次有可能中招,所以專家建議用戶使用360安全衛士殺毒清理,提高安全係數360安全衛士保持開啟狀態,能及時防範,從而有效控制木馬病毒的大規模爆發。同時針對該木馬的攻擊態勢,360安全專家請廣大用戶不要恐慌:

1.  做好相關重要數據備份工作。

2.  加強系統安全工作,及時升級軟體與安裝作業系統補丁。

3.  伺服器暫時關閉不必要的埠(如135、139、445)

4. 360安全衛士已在第一時間對該木馬進行了攔截查殺,此外360安全衛士具備的永恆之藍漏洞免疫功能,可保護用戶免遭該木馬攻擊,建議大家及時安裝!

免責聲明:以上內容為本網站轉自其它媒體或企業宣傳文章,相關信息僅為傳遞更多信息之目的,不代表本網觀點,亦不代表本網站贊同其觀點或證實其內容的真實性。

相關焦點

  • 「驅動人生定向攻擊」事件未完待續,攻擊者斂財心切
    2018 年 12 月 14 日下午, 360 安全大腦監測到一批攜帶永恆之藍漏洞攻擊組件的下載器木馬,該類木馬主要通過「人生日曆」等驅動人生系列產品升級組件下發。 14 日晚間, 360 公司向廠商通報了相關情況,該下發活動已停止。
  • 「老虎」挖礦木馬偽裝「火爆新聞」傳播 騰訊安全率先查殺
    騰訊安全御見威脅情報中心近日監測發現一款通過社會工程騙術傳播的「老虎」挖礦木馬。攻擊者將木馬程序偽裝成「火爆新聞」、「色情內容」、「隱私資料」、「詐騙技巧」等虛假文件名,通過社交網絡發送到目標電腦,得手後植入大灰狼遠控木馬等惡意程序,竊取大量用戶個人隱私信息,中毒電腦更可能遭到遠程控制。目前,該木馬已感染超5000臺電腦。
  • 「挖礦殭屍」利用SaltStack漏洞入侵伺服器:多家企業中招、已獲利...
    日前,騰訊御見威脅情報中心通報了一起H2Miner黑產團夥利用SaltStack漏洞控制伺服器挖礦的入侵案例。據悉,騰訊安全威脅情報中心於2020年05月03日檢測到H2Miner木馬利用SaltStack遠程命令執行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企業主機進行挖礦。通過對木馬的核心腳本以及可執行文件的對比分析,確認了此次攻擊行動屬於挖礦木馬家族H2Miner。
  • 黑客是如何利用你的瀏覽器進行挖礦的?
    0×1 概述  近期,千裡目安全實驗室監測到了一大批網站系統被惡意植入了網頁挖礦木馬,只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點,瀏覽器會即刻執行挖礦指令,從而淪為殭屍礦機,無償的為網頁挖礦木馬植入者提供算力,間接為其生產虛擬貨幣,這是一種資源盜用攻擊。
  • 另一惡意程序利用永恆之藍攻擊卻阻斷445埠
    近期,WannaCry勒索病毒把整個網際網路攪得天翻地覆,利用美國NSA洩露的永恆之藍漏洞大肆傳播。但騰訊電腦管家檢測到,在該病毒傳播的同時,還有一個惡意程序同樣在利用該漏洞進行傳播。因該惡意程序會阻斷受害電腦的445埠的網絡連接,故一定程度上阻止了WannaCry病毒的大肆傳播。目前,騰訊電腦管家已可攔截該攻擊,用戶不必驚慌。
  • 科普貼|一種廣泛存在的黑客攻擊——ATP攻擊
    綜合多種攻擊途徑來嘗試突破網絡防禦,通常是通過Web或電子郵件傳遞,利用應用程式或作業系統的漏洞,利用傳統的網絡保護機制無法提供統一的防禦。除了使用多種途徑,高級定向攻擊還採用多個階段穿透一個網絡,然後提取有價值的信息,這使得它的攻擊更不容易被發現。
  • 病毒界的六大「影帝」:它們靠演技入侵500萬臺電腦
    原標題:病毒界的六大「影帝」:它們靠演技入侵500萬臺電腦都說人生如戲,全靠演技,電腦病毒界的「成功人士」也往往是最擅長偽裝的。據360最新發布的一份安全報告顯示,在安全軟體報警攔截的情況下,有六類木馬病毒仍然會被用戶主動請入電腦,包括遊戲外掛、刷鑽搶紅包等「貪便宜軟體」、色情播放器、破解軟體、山寨款常用軟體以及黑客工具。
  • 24日預警:將感染電腦變成FTP伺服器的木馬
    一、「FTP特務」變種AS(Win32.Hack.VictFtp.as)威脅級別:      病毒特徵:該病毒會利用自身的特殊技術,將受感染的電腦系統變成一個FTP伺服器,使黑客可以遠程控制和完全接管受感染的電腦。它會在電腦系統裡進行多個危害性操作,包括修改IE主頁,終止多個系統進程,竊取電腦上的有效信息等等。
  • 挖礦、勒索、盜竊 黑客盯上數字貨幣_中國電子銀行網
    >>詳細   Android平臺挖礦木馬研究報告   應用盈利模式由廣告轉向挖礦,門羅幣成為挖礦幣種首選以及攻擊目標向電子貨幣錢包轉移成為Android平臺挖礦木馬的趨勢。目前挖礦木馬的防禦措施,PC平臺已經具備防禦能力,移動平臺由於權限控制不能徹底防禦。
  • 永恆之藍下載器木馬再度升級,新增「疫情」釣魚郵件傳播能力
    日前,騰訊安全威脅情報中心檢測發現,永恆之藍下載器木馬再度升級,新增郵件蠕蟲傳播能力,木馬在中招用戶機器上運行後,會自動向其通訊錄聯繫人發起二次攻擊,危害極大,目前已有大量知名企業被感染。騰訊安全提醒企業注意防範,及時安裝相關補丁,並啟用安全軟體防禦攻擊,避免重大安全事故發生。
  • 騰訊安全:亡命徒(Outlaw)殭屍網絡感染2萬臺伺服器,政企須提高警惕
    早在2018年,亡命徒(Outlaw)殭屍網絡便被檢測發現可通過SSH爆破攻擊目標系統,同時傳播基於Perl的Shellbot和門羅幣挖礦木馬。而此次攻擊傳播的母本文件,經騰訊安全專家深入溯源分析後發現可能為亡命徒(Outlaw)殭屍網絡的第3個版本。
  • 電腦被植入「木馬」,女孩換衣遭偷拍,如何防範?
    ▲ 點擊藍字「小龍軟體工作室」,關注最新IT資訊最近,新聞上報導大連19歲女孩因修電腦時被售後服務人員偷偷植入偷窺軟體在電腦主人不知情的情況下,偷偷安裝可「遠程控制電腦攝像頭」的軟體,一般被稱為「木馬」病毒,這類軟體往往都以「隱藏」的方式在後臺偷偷運行
  • 網絡攻擊和防禦手段及其可能造成的後果
    常見的攻擊方法埠掃描:網絡攻擊的前奏網絡監聽∶區域網、HUB、ARP欺騙、網關設備郵件攻擊︰郵件炸彈、郵件欺騙網頁欺騙∶偽造網址、DNS重定向密碼破解∶字典破解、暴力破解、md5解密漏洞攻擊:溢出攻擊、系統漏洞利用種植木馬︰隱蔽、免殺、網站掛馬、郵件掛馬DoS、
  • 最強木馬食貓鼠來襲 騰訊電腦管家消除侵害於無形
    根據騰訊反病毒實驗室提醒,一款名為「食貓鼠」的木馬病毒正通過色情網站、群共享等途徑大規模擴散,感染病毒的電腦可被黑客遠程操控,並在後臺下載安裝百度瀏覽器等程序,因其能偽裝成其他數據文件騙過普通的殺毒軟體,如今已致百萬電腦用戶中招。
  • 木馬程序,計算機木馬病毒,居然是一樣的?
    目錄計算機木馬病毒木馬程序完整的木馬程序計算機木馬病毒計算機木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發送密碼、記錄鍵盤和攻擊Dos等特殊功能的後門程序。木馬程序木馬程序表面上是無害的,甚至對沒有警戒的用戶還頗有吸引力,它們經常隱藏在遊戲或圖形軟體中,但它們卻隱藏著惡意。這些表面上看似友善的程序運行後,就會進行一些非法的行動,如刪除文件或對硬碟格式化。
  • Check Point安全研究人員針對UPAS Kit與Kronos銀行木馬的分析
    大家可能還記得,在2017年5月,WannaCry在150多個國家進行了大規模的攻擊活動,許多公司和組織都不幸中招。幸運的是,英國安全研究人員馬庫斯•哈欽斯(Marcus Hutchins)通過無意間觸發WannaCry自帶的「自毀開關」,來阻止了這次襲擊。
  • 全球首次爆發安卓挖礦蠕蟲 智能電視變「礦機」
    日前,360網絡安全研究院監測到全球首個安卓平臺挖礦蠕蟲ADB.Miner,該惡意程序影響多款「ADB調試」開關打開的智能電視、電視盒子、機頂盒等等。從大門溜進的病毒ADB是連接安卓設備與PC端的橋梁,可以讓用戶在電腦上對設備進行全面的操作,是安卓系統為方便軟體開發者提供的一種調試接口,一般情況下軟體開發人員是通過啟用USB調試選項來使用這種接口的。但事實上,這種接口可以直接綁定到網絡埠上。
  • 緊盯網絡空間安全最新情況,為網信軍民融合提供信息支撐
    這其中,始終緊盯網絡空間安全最新情況,為軍地聯手應對網絡空間安全風險提供共享信息支撐尤為重要。目前,相對於以前傳統的PC端的安全問題,網絡空間安全出現了新的安全領域和威脅,比如人工智慧在安全領域的應用與威脅,同時物理世界也面臨的新的安全威脅,比如車聯網、物聯網、工控網領域的安全威脅,同時傳統的網絡攻擊呈現出APT攻擊特點,近年來面向供給鏈的攻擊也有大量揭露。下面逐一分析各領域的最新的進展。
  • 比特幣挖礦的驅動鏈根鏈RSK介紹
    打開APP 比特幣挖礦的驅動鏈根鏈RSK介紹 發表於 2019-05-16 11:19:22 我們要考慮到: • 哪一方控制著被鎖定的比特幣 • 攻擊的成本是什麼 • 攻擊的後果是什麼 • 參與的激勵機制是什麼 我們發現,如果幾乎全體的比特幣礦工都加入到聯合挖礦中,當監管者是比特幣礦工時,參與各方可以被激發出最高的誠實性,但只有當幾乎所有礦工都參與其中。