【预警】多地区爆发“驱动人生”木马新变种病毒
2018年12月起,驱动人生”旗下多款软件疑似被利用,会下载木马病毒, 该病毒进入电脑后,继续通过“永恒之蓝”高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息,该病毒短时间内感染超过数万台电脑。此恶意程序在之后的时间里不断进化丰富攻击手段,添加了PowerShell后门程序、挖矿程序、病毒启动任务计划、Mimikatz本地密码抓取、SMB弱口令暴力破解等功能。
图1:远程hta代码任务计划
近日,因“新年不断更”被安全行业戏称为病毒界“劳模”的“驱动人生”木马又憋了一个大招,该病毒利用数字签名以逃避杀毒软件,新增SQL Server数据库的sa弱口令暴力破解功能。该病毒入侵数据库后,修改sa的口令为ksa8hd4,m@~#$%^&*(),可以通过数据库提权获取操作系统权限并释放挖矿等恶意程序,从而导致系统资源被耗尽、蓝屏等情况。
图2:恶意程序添加了数字签名
“驱动人生”木马最新变种已经开始在福建省某市医疗专网内大规模传播。目前,该病毒的扩散还未得到有效控制,已经严重的影响到了患者的日常就医。 安全贴士
针对“驱动人生”新变种木马攻击,海峡信息建议立即采取相关防范措施:
1.各单位应在互联网、专网等各区域边界及骨干网络节点处加强访问控制策略,仅允许必要的业务端口访问,关闭相关共享端口(135、137、138、139、445),为3389(远程桌面服务)、1433(SQL Server)等配置访问白名单策略;
2.及时更新系统补丁,确保MS17-010等高危漏洞的补丁已修复;
3.为SQL Server数据库sa账号设置强密码且密码不能雷同,或禁止sa账号远程登录;
4.为操作系统设置强密码且密码不能雷同;
5.为操作系统安装杀毒软件并更新病毒库到最新版本,重要服务器杀毒软件的策略修改及退出等操作设置独立的密码。
