用野火燒不盡,春風吹又生,來形容「死而不滅」的殭屍網絡最合適不過。
6月9日,360安全大腦監測到「驅動人生」殭屍網絡的高危異動,其原有的殭屍模塊進行大規模更新,增加「SMBv3漏洞利用」模塊與「Redis未授權訪問漏洞利用」模塊,意圖利用最新曝光的高危「蠕蟲式」漏洞,擴展入侵範圍感染更多計算機謀利。
經360安全大腦分析發現,SMBv3漏洞(又稱SMBGhost漏洞,CVE-2020-0796)所具備的「零接觸遠程」攻陷受害目標機器的特性,對「驅動人生」殭屍網絡擴散簡直如虎添翼,如不加以防範,極可能誘發新一輪的殭屍網絡肆虐。
不過廣大用戶不必過分擔心,360安全衛士不僅已在第一時間支持SMBv3漏洞的無補丁修復,並可高效攔截查殺「驅動人生」殭屍網絡攻擊。
「驅動人生」殭屍網絡撿漏王
攻擊模塊抄底更新「蠕蟲級」漏洞
「驅動人生」殭屍網絡模塊更新,或許是一場長期且有預謀的網絡「撿漏」。360安全大腦監測數據顯示,幾天前國外安全研究人員曾通過網絡公開SMBv3零接觸遠程漏洞利用代碼,而「驅動人生」殭屍網絡緊隨其後,迅速將該漏洞收入武器庫「為我所用」,以圖升級殭屍網絡的攻擊力。
從360安全大腦此前披露的漏洞信息來看,SMBv3漏洞(CVE-2020-0796)是一個高危的零接觸遠程代碼執行漏洞,可在無任何交互情況下,致使目標被非授權控制。
這也就意味著,SMBv3漏洞一旦被「驅動人生」殭屍網絡惡意利用,恐將在短時間內大幅度提升殭屍網絡的「感染性」。
SMBv3漏洞攻擊模塊
360安全大腦監測數據顯示,「驅動人生」殭屍網絡新增的SMBv3漏洞攻擊模塊,具體函數名為smbghost_exec。
該函數會從hxxp://d.ackng.com/smgh.bin下載SMBv3漏洞攻擊程序並釋放到目標機器中。
需要注意的是,經過上述操作攻陷目標機器後,SMBv3漏洞攻擊模塊還會執行下圖所示命令,使感染目標淪為「驅動人生」殭屍網絡的一個節點,進而對其他機器發起攻擊。
鑒於SMBv3漏洞影響範圍覆蓋Windows 10 1903及以上版本的特性,其威脅不言而喻。
SMBv3零接觸遠程漏洞攻擊後執行的命令
二次更新linux攻擊模塊
360安全大腦斬斷殭屍網絡不死賊心
360安全大腦還在監測數據中發現,此次 「驅動人生」殭屍網絡更新中,還增加了對Redis未授權訪問漏洞的利用模塊。
該模塊會掃描存在該漏洞的linux伺服器,並在目標伺服器中創建計劃任務,讓感染的linux伺服器,慘變殭屍網絡的新「傳染源」。
值得一提的是,這是360安全大腦監測到新增SSH爆破模塊之後,「驅動人生」殭屍網絡第二個針對linux伺服器的攻擊模塊更新。
Redis未授權訪問漏洞攻擊模塊
自2018年,「驅動人生」木馬2小時感染10萬電腦,驚爆網絡至今,「驅動人生」殭屍網絡從未停止網絡非法淘金的步伐。
而從360安全大腦監測數據顯示,截至目前,SMB爆破(包括Pass the Hash攻擊)模塊和永恆之藍漏洞攻擊模塊,是「驅動人生」挖礦殭屍網絡中危害最大的攻擊模塊,多數被感染計算機均源自上述兩模塊。
「驅動人生」挖礦殭屍網絡各攻擊模塊攻擊機器數量一覽
漏洞與利用共生,而隨著新漏洞利用代碼的面世,將有越來越多的漏洞利用代碼,被「驅動人生」殭屍網絡收為己用,成為新的攻擊模塊,危及網絡安全。
目前,在360安全大腦的極智賦能下,360安全衛士不僅在SMBv3零接觸遠程漏洞曝出的第一時間,率先支持無補丁漏洞修復,更可高效攔截包括「驅動人生」殭屍網絡在內的各類攻擊威脅,保障用戶網絡安全。
最後,針對威脅不斷升級的「驅動人生」殭屍網絡,360安全大腦給出以下幾點安全建議:
1、前往weishi.360.cn下載安裝360安全衛士,有效攔截此類漏洞利用威脅;
2、及時更新電腦系統,定期檢測軟體安全漏洞,第一時間修補補丁;
3、發現電腦異常時,及時使用360安全衛士進行體檢掃描,查殺病毒木馬;
4、提高安全意識,不隨意點擊來源不明的郵件、文檔、連結等,並定期為作業系統、IE、Flash等常用軟體打好補丁。
5、開啟360安全衛士「網頁安全防護」功能,辨別各類虛假詐騙網頁,攔截釣魚網站、危險連結,保障計算機信息安全。