您当前位置:首页 > 资讯中心 > 信息安全

“驱动人生定向攻击”事件未完待续,攻击者敛财心切

       2018年12月14日下午,360安全大脑监测到一批携带永恒之蓝漏洞攻击组件的下载器木马,该类木马主要通过“人生日历”等驱动人生系列产品升级组件下发。14日晚间,360公司向厂商通报了相关情况,该下发活动已停止。截止目前,该木马累计攻击计算机超过6万台计算机(仅包括通过升级组件受到攻击的情况,不含利用漏洞的二次攻击情况,360安全卫士带有永恒之蓝漏洞免疫功能)。

1.jpg

  半个月前,攻击者通过域名 dl.haqo.net 下发木马;时隔半个月,360安全大脑监测到,攻击者掌握大量肉鸡后,通过新的域名d.haqo.net 再次下发挖矿木马。而本次挖矿木马新增下发通道域名 d.haqo.net ,启用解析的时间是 2018年12月29日 ,距离较初爆发时的 2018年12月14日 已经过去半个月。被安全厂商联合绞杀的半个月后还启用新的恶意域名,说明黑客团伙足够谨慎,也早有预谋。

  从黑客服务器下发的挖矿木马分析来看,挖矿木马由开源挖矿程序 XMRig 修改编译而来。挖矿木马中内置了 3 个以前没被曝光过的矿池域名 loop.haqo.net / loop2.haqo.net / loop.abbny.com ,挖矿木马启动之后,会与矿池域名的 TCP:443 端口通信。目前 3 个矿池地址,前两个已经可以解析,较后一个 loop.abbny.com 还没有配置解析的 IP 地址,算是备用域名。这也为未来攻击行为埋下伏笔:如果前两个矿池域名都被安全厂商拦截后无法继续使用了,攻击者可以启用这一个矿池域名,使挖矿工作还能继续进行。所以广大用户仍需提高警惕,及时安装杀软或升级病毒库,清理杀毒。由此安全专家可以推测此事件背后恶意团伙的套路:先入侵“驱动人生”的服务器,通过“驱动人生”的升级通道下发“永恒之蓝”攻击工具来扩散感染。较终,再向已经感染木马的受害主机下发挖矿木马来挖矿牟利。

  360安全专家提醒:上次6万台被“驱动人生”升级感染的机器如果不及时做杀毒清理用户,这次有可能中招,所以专家建议用户使用360安全卫士杀毒清理,提高安全系数360安全卫士保持开启状态,能及时防范,从而有效控制木马病毒的大规模爆发。同时针对该木马的攻击态势,360安全专家请广大用户不要恐慌:

  1.  做好相关重要数据备份工作。

  2.  加强系统安全工作,及时升级软件与安装操作系统补丁。

  3.  服务器暂时关闭不必要的端口(如135、139、445)

  4. 360安全卫士已在时间对该木马进行了拦截查杀,此外360安全卫士具备的永恒之蓝漏洞免疫功能,可保护用户免遭该木马攻击,建议大家及时安装!

 

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
作者:grabsun - 发布时间:2019-01-14 - 点击量:5552
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们