瑞星首家发现Hybrid Analysis网站数据被“驱动人生木马”污染

Track-SSG   ·   发表于 2019-03-18 11:08:46   ·   漏洞文章

近日,瑞星安全专家在追踪病毒线索时,发现知名沙盒Hybrid Analysis网站数据被“驱动人生木马”污染,导致大量的检测结果均显示恶意。瑞星安全专家第一时间通知了Hybrid Analysis官方,随后国外不少用户和安全研究人员开始跟帖讨论,自己从Hybrid Analysis网站得到的分析数据出现问题。

图:瑞星安全专家第一时间通知了Hybrid Analysis官方

瑞星安全研究院监测到自2018年底攻击者入侵了驱动人生的服务器,植入挖矿木马感染了一大批用户以来,已频繁更新了多个病毒版本,除使用永恒之蓝漏洞攻击、SMB弱口令攻击之外,最新版本还增加了MS SQL数据库弱口令攻击,危害进一步增强,国内不少企业深受其害。

然而一波未平一波又起,病毒作者可能也没有想到,病毒已影响到国外一家叫做“Payload-Security”安全公司(现已被CrowdStrike收购)的一个重要产品——Hybrid Analysis恶意软件在线分析系统。Hybrid Analysis在安全圈内十分出名,被全球众多的安全研究人员所使用,以用来对恶意软件进行混合分析、提取威胁指标并关联恶意家族。

图:Hybrid Analysis恶意软件在线分析网站

此次,瑞星安全专家发现其它家族的病毒在Hybrid Analysis上竟然出现了“驱动人生木马”的威胁指标,测试了多个不同的恶意软件家族后均发现此问题,瑞星安全专家又扫描了一些安全的文件和网页也均报毒,都检测出了“驱动人生木马”的控制服务器。进一步分析发现,病毒在Hybrid Analysis沙盒内网中传播,感染了大量沙盒系统。经分析发现,弱口令和相同密码是导致众多沙盒反复被植入病毒的主要原因。

瑞星安全专家提醒,“Payload-Security”如此专业的安全公司,由于网络防范不足,病毒通过弱口令在众多业务机器之间来回攻击,导致分析数据被污染,未来可能不得不停机维护才能够彻底消除此问题。

因此,对于企业来说,网络安全意识、网络的合理部署和系统的正确配置都是至关重要的环节。国内被攻击的企业中,大多是由于没有更新永恒之蓝补丁,或使用了弱口令和相同密码才导致网络安全威胁产生的,因此为了防止出现类似的病毒事件,企业应提高安全意识,并及时修复漏洞和弱口令等问题。

攻击事件分析

通过样本分析可以看到,除了部分开机时间较短,就还原了快照的沙盒之外,无论分析什么样本,大多数的分析结果都显示访问了“驱动人生木马”的控制服务器。

图:被污染的结果

image007.png

图:检测到的网络请求

创建计划任务:

image009.png

图:创建计划任务

下载的挖矿模块:

image011.png

图:挖矿模块

内置弱口令列表,通过永恒之蓝漏洞和弱口令进行攻击的模块。

image013.png

图:攻击模块

抓取本机密码,用抓取的密码攻击其它机器,Hybrid Analysis 有可能使用的是相同密码或者弱口令,因此导致其它沙盒反复被植入此病毒,污染沙盒检测结果。

image015.png

图:调用抓密码脚本

*本文作者:瑞星,转载来自FreeBuf.COM


打赏我,让我更有动力~

0 条回复   |  直到 2019-3-18 | 990 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.