近日,瑞星安全专家在追踪病毒线索时,发现知名沙盒Hybrid Analysis网站数据被“驱动人生木马”污染,导致大量的检测结果均显示恶意。瑞星安全专家第一时间通知了Hybrid Analysis官方,随后国外不少用户和安全研究人员开始跟帖讨论,自己从Hybrid Analysis网站得到的分析数据出现问题。
图:瑞星安全专家第一时间通知了Hybrid Analysis官方
瑞星安全研究院监测到自2018年底攻击者入侵了驱动人生的服务器,植入挖矿木马感染了一大批用户以来,已频繁更新了多个病毒版本,除使用永恒之蓝漏洞攻击、SMB弱口令攻击之外,最新版本还增加了MS SQL数据库弱口令攻击,危害进一步增强,国内不少企业深受其害。
然而一波未平一波又起,病毒作者可能也没有想到,病毒已影响到国外一家叫做“Payload-Security”安全公司(现已被CrowdStrike收购)的一个重要产品——Hybrid Analysis恶意软件在线分析系统。Hybrid Analysis在安全圈内十分出名,被全球众多的安全研究人员所使用,以用来对恶意软件进行混合分析、提取威胁指标并关联恶意家族。
图:Hybrid Analysis恶意软件在线分析网站
此次,瑞星安全专家发现其它家族的病毒在Hybrid Analysis上竟然出现了“驱动人生木马”的威胁指标,测试了多个不同的恶意软件家族后均发现此问题,瑞星安全专家又扫描了一些安全的文件和网页也均报毒,都检测出了“驱动人生木马”的控制服务器。进一步分析发现,病毒在Hybrid Analysis沙盒内网中传播,感染了大量沙盒系统。经分析发现,弱口令和相同密码是导致众多沙盒反复被植入病毒的主要原因。
瑞星安全专家提醒,“Payload-Security”如此专业的安全公司,由于网络防范不足,病毒通过弱口令在众多业务机器之间来回攻击,导致分析数据被污染,未来可能不得不停机维护才能够彻底消除此问题。
因此,对于企业来说,网络安全意识、网络的合理部署和系统的正确配置都是至关重要的环节。国内被攻击的企业中,大多是由于没有更新永恒之蓝补丁,或使用了弱口令和相同密码才导致网络安全威胁产生的,因此为了防止出现类似的病毒事件,企业应提高安全意识,并及时修复漏洞和弱口令等问题。
攻击事件分析
通过样本分析可以看到,除了部分开机时间较短,就还原了快照的沙盒之外,无论分析什么样本,大多数的分析结果都显示访问了“驱动人生木马”的控制服务器。
图:被污染的结果
图:检测到的网络请求
创建计划任务:
图:创建计划任务
下载的挖矿模块:
图:挖矿模块
内置弱口令列表,通过永恒之蓝漏洞和弱口令进行攻击的模块。
图:攻击模块
抓取本机密码,用抓取的密码攻击其它机器,Hybrid Analysis 有可能使用的是相同密码或者弱口令,因此导致其它沙盒反复被植入此病毒,污染沙盒检测结果。
图:调用抓密码脚本
*本文作者:瑞星,转载请注明来自FreeBuf.COM