信息來源:FreeBuf
近日,瑞星安全專家在追蹤病毒線索時,發(fā)現(xiàn)知名沙盒Hybrid Analysis網(wǎng)站數(shù)據(jù)被“驅動人生木馬”污染,導致大量的檢測結果均顯示惡意。瑞星安全專家第一時間通知了Hybrid Analysis官方,隨后國外不少用戶和安全研究人員開始跟帖討論,自己從Hybrid Analysis網(wǎng)站得到的分析數(shù)據(jù)出現(xiàn)問題。
圖:瑞星安全專家第一時間通知了Hybrid Analysis官方
瑞星安全研究院監(jiān)測到自2018年底攻擊者入侵了驅動人生的服務器,植入挖礦木馬感染了一大批用戶以來,已頻繁更新了多個病毒版本,除使用永恒之藍漏洞攻擊、SMB弱口令攻擊之外,最新版本還增加了MS SQL數(shù)據(jù)庫弱口令攻擊,危害進一步增強,國內不少企業(yè)深受其害。
然而一波未平一波又起,病毒作者可能也沒有想到,病毒已影響到國外一家叫做“Payload-Security”安全公司(現(xiàn)已被CrowdStrike收購)的一個重要產(chǎn)品——Hybrid Analysis惡意軟件在線分析系統(tǒng)。Hybrid Analysis在安全圈內十分出名,被全球眾多的安全研究人員所使用,以用來對惡意軟件進行混合分析、提取威脅指標并關聯(lián)惡意家族。
圖:Hybrid Analysis惡意軟件在線分析網(wǎng)站
此次,瑞星安全專家發(fā)現(xiàn)其它家族的病毒在Hybrid Analysis上竟然出現(xiàn)了“驅動人生木馬”的威脅指標,測試了多個不同的惡意軟件家族后均發(fā)現(xiàn)此問題,瑞星安全專家又掃描了一些安全的文件和網(wǎng)頁也均報毒,都檢測出了“驅動人生木馬”的控制服務器。進一步分析發(fā)現(xiàn),病毒在Hybrid Analysis沙盒內網(wǎng)中傳播,感染了大量沙盒系統(tǒng)。經(jīng)分析發(fā)現(xiàn),弱口令和相同密碼是導致眾多沙盒反復被植入病毒的主要原因。
瑞星安全專家提醒,“Payload-Security”如此專業(yè)的安全公司,由于網(wǎng)絡防范不足,病毒通過弱口令在眾多業(yè)務機器之間來回攻擊,導致分析數(shù)據(jù)被污染,未來可能不得不停機維護才能夠徹底消除此問題。
因此,對于企業(yè)來說,網(wǎng)絡安全意識、網(wǎng)絡的合理部署和系統(tǒng)的正確配置都是至關重要的環(huán)節(jié)。國內被攻擊的企業(yè)中,大多是由于沒有更新永恒之藍補丁,或使用了弱口令和相同密碼才導致網(wǎng)絡安全威脅產(chǎn)生的,因此為了防止出現(xiàn)類似的病毒事件,企業(yè)應提高安全意識,并及時修復漏洞和弱口令等問題。
攻擊事件分析
通過樣本分析可以看到,除了部分開機時間較短,就還原了快照的沙盒之外,無論分析什么樣本,大多數(shù)的分析結果都顯示訪問了“驅動人生木馬”的控制服務器。
圖:被污染的結果
圖:檢測到的網(wǎng)絡請求
創(chuàng)建計劃任務:
圖:創(chuàng)建計劃任務
下載的挖礦模塊:
圖:挖礦模塊
內置弱口令列表,通過永恒之藍漏洞和弱口令進行攻擊的模塊。
圖:攻擊模塊
抓取本機密碼,用抓取的密碼攻擊其它機器,Hybrid Analysis 有可能使用的是相同密碼或者弱口令,因此導致其它沙盒反復被植入此病毒,污染沙盒檢測結果。
圖:調用抓密碼腳本