一、概述

2018年12月14日下午,騰訊安全御見威脅情報中心監測到一款通過「驅動人生」系列軟體升級通道傳播的木馬突然爆發,僅2個小時受攻擊用戶就高達10萬。該病毒會通過雲控下發惡意代碼,包括收集用戶信息、挖礦等,同時利用「永恆之藍」高危漏洞進行擴散。騰訊御見威脅情報中心立即對該病毒疫情對外通報,並發布詳細的技術分析報告。

2018年12月14日晚,驅動人生公司接到騰訊御見威脅中心的事件預警後,對該事件高度重視,第一時間與騰訊安全御見威脅情報中心進行聯繫,告知在木馬爆發時,驅動人生公司相關技術人員正在國外旅遊團建,因此高度懷疑該事件是驅動人生公司的升級伺服器被黑客攻擊導致,並請求騰訊企業安全應急響應中心一起協助追查事故原因。

同時,驅動人生公司對該事件向深圳警方報警,並對外發布了緊急聲明和採取相應的應對措施。

2018年12月16日,驅動人生公司相關技術人員放棄團建緊急回國,騰訊企業安全應急響應中心也應邀派出安全工程師,於當晚協助驅動人生公司對本次黑客入侵事件進行溯源追查。經過通宵分析和排查,最終確定該事件是一起精心策劃的定向攻擊事件,入侵者歷時一個多月,利用驅動人生系列軟體的升級程序進行攻擊,達到構建殭屍網路,安裝雲控木馬、組網挖礦等非法目的。

幸運的是,攻擊者此番利用,其目的只是安裝雲控木馬收集計算機信息、控制肉雞電腦進行門羅幣挖礦。假如攻擊者利用此通道傳播勒索病毒,就會製造類似去年WannaCry爆發那樣的災難性後果。此次攻擊剛開始不久,就被騰訊御見威脅情報中心率先攔截和查殺,最終該事件並未進一步擴大,攻擊者終究未能得逞。

二、源頭定位

經過對驅動人生系列軟體的升級流程和組件進行深入分析,我們發現了相關流程如下(以人生日曆為例):

安裝後會設置一個名為「wtsvc」的服務,該服務啟動後會載入UpdateHelper.dll、CheckUpdate.dll等DLL文件:

開始升級時UpdateHelper.dll指定升級進程為DTLUpg.exe、升級地址為globalupdate.updrv.com,埠為4040,配置參數為update.xm l:

升級地址globalupdate.updrv.com通過域名備案查詢可確定其所屬為驅動人生公司。

該域名指向IP為103.56.77.23:

CheckUpdate.dll會負責拼接update.xm l並將其作為參數啟動DTLUpg.exe。xm l中包含更新文件的url地址,IP以及hash等信息:

本次攻擊中,相關的配置信息被替換:

由於驅動人生系列軟體在升級中未校驗相關配置信息,導致木馬被下載執行。

根據上述分析,我們猜測,103.56.77.23這臺伺服器可能被黑客攻陷,從而下發了惡意的升級配置文件,導致用戶下載執行了木馬程序。

三、騰訊安全專家受邀審計伺服器日誌追溯事件真相

2018年12月16日,驅動人生公司(下面簡稱D公司)的相關技術人員放棄團建緊急回國。受D公司邀請,騰訊企業安全應急響應中心派出安全工程師,於當晚協助D公司對該事件進行溯源追查。根據前面的分析,開始重點排查103.56.77.23這臺伺服器。

1、針對目前僅有的一些線索,雙方進行前期溝通,並梳理了相關流程和疑點,具體信息如下:

1)D公司除少部分值班人員,包括開發,運維等技術崗位集體於12月13日開始出國團建;

2)升級伺服器103.56.77.23已經設置遠程登錄限制,只允許特定IP登錄操作;

3)103.56.77.23機器通過服務「DTL_SoftupdateService」控制升級配置,下發到客戶端update.xm l由兩部分數據組成:升級url控制域名(如dtl.update.updrv.com)和子路徑組成(寫在SQL資料庫)。

下圖為103.56.77.23機器上負責升級的配置ServerConfig.xm l,其中SQL資料庫登錄IP和密碼明文存放在DBFilePath欄位中,因此登錄此伺服器後即可同時掌握SQL帳號。

4)103.56.77.23伺服器和SQL資料庫在12.13--12.15期間存在異常登錄和操作,這段期間相關開發人員均在國外團建。SQL資料庫在12.14日14:15--18:00時間段的異常增刪操作,與電腦御見威脅情報中心檢測到的驅動人生升級通道下發病毒時間14:30--18:30吻合;

5)D公司內允許使用部分遠程桌面軟體,暫時不能排除內網機器被遠程控制後登錄103.56.77.23伺服器;

6)無法確認具體的異常登錄機器源頭,已知線索為登錄源計算機名」USER-PC」,但不是日常運維管理人員使用的機器;

7)D公司會定期修改伺服器103.56.77.23的administrator帳號為隨機密碼,僅有一位運維工程師掌握密碼。

2、根據前期溝通得到的相關線索,我們決定對該升級伺服器(103.56.77.23)和與升級伺服器登錄相關的系統日誌進行詳細審計,過程如下:

1)12.14日事件爆發當天,這臺機器上「DTL_SoftupdateService」服務從14:19分開始被多次嘗試重啟,於14:32分後穩定開啟,疑似操作者調試修改效果後測試利用成功。

2)繼續向上追溯該機器可以發現12.4日機器已經上存在」USER-PC」使用Administrator帳號登錄成功的記錄,但並未有密碼爆破等嘗試而是直接登錄成功。

3)繼續往前追溯,11.15日」USER-PC」即使用過某運維帳號ZeXX登錄,經確認非運維人員本人操作。

4)由於無法確認」USER-PC」機器,我們決定優先排查運維人員常用辦公機器A,發現早在一個月前的11.13日,該機器被內網機器(192.168.xx.208)嘗試過SMB爆破,但並未直接成功。

值得關注的是,192.168.xx.208在嘗試SMB爆破時,使用了4位D公司員工姓名拼音作為用戶名嘗試,包括一位已離職約半年的員工,這些員工崗位均為後臺開發,運維。而爆破過程中,從爆破開始到結束,爆破時間極短且爆破次數極少(20+次),因此我們猜測,爆破的密碼字典非常有限,反映出攻擊者已熟知這些員工信息。

從其它內網機器看,11.13日當天機器192.168.xx.208對192內網段所有機器都發起了SMB爆破,其中192.168.xx.155機器被SMB爆破成功。

5)192.168.xx.208是一臺部署在外地的編譯機,從該機器日誌向前追溯,11.12日機器192.168.xx.222曾經登錄過192.168.xx.208,且登錄源計算機正是」USER-PC」,追溯過程至此露出了曙光。

6)進一步瞭解到,192.168.xx.222正是D公司的運維跳板機,為了防止惡意登錄嘗試,D公司已經修改了遠程桌面默認埠。同時瞭解到運維人員為了方便日常使用,跳板機與192.168.xx.208,192.168.xx.155等機器的管理員密碼相同,也就是說,如果有人掌握了D公司跳板機管理員密碼,理論上是可以通過跳板機控制到內網多臺其它機器。

7)分析跳板機的登錄記錄,在11.12日出現了可疑登錄源95.211.168.228(荷蘭),D公司在荷蘭並無業務人員,同時排查出來自其它國家的異常登錄記錄(84.39.112.58),基本確認是攻擊者通過代理來隱藏痕跡。同時跳板機的異常登錄記錄與103.56.77.23伺服器的異常登錄記錄在12.4號後高度吻合。

8)192.168.xx.155也是運維人員日常使用的一臺機器,在跟進這臺機器時,我們發現運維人員為了工作方便,將升級伺服器103.56.77.23的帳號密碼明文記錄在工作目錄下文檔中。

3、根據上面的分析,我們認為基本可以還原整個攻擊鏈條。下面是我們整理的整個攻擊事件的killchain(攻擊鏈):

1)前期準備:

攻擊者收集D公司信息,包括辦公出口IP,開發運維崗位員工名冊,部分伺服器內網IP,可能嗅探確認了被修改的遠程桌面埠。

2)實施入侵:

11.12日10:53分:外網機器通過代理登錄到跳板機(222)和編譯機(208)。

3)橫向移動:

11.13日:從9點開始,對192網段下發SMB爆破,且針對性使用運維崗員工姓名(LiuXX,SuXX,ChenXX,ZeXX)作為帳號名,主要目標為ZeXX,發現目標機器(155);

11.15日17:17分:」USER-PC」使用ZeXX帳號登錄到升級伺服器103.56.77.23;

12.4日17:01分:」USER-PC」(84.39.112.58)使用administrator帳號登錄到升級伺服器103.56.77.23;

4)準備攻擊:

12.5日:本次攻擊中使用的模仿下載域名ackng.com被註冊。

5)發動攻擊:

12.13日14:22分:」USER-PC」(84.39.112.58)再次使用administrator帳號登錄到升級伺服器103.56.77.23,疑似分析登錄伺服器配置方案;

12.14日14:15分:」USER-PC」 登錄到升級伺服器103.56.77.23,備份並修改ServerConfig.xm l文件,同時登錄SQL資料庫後插入惡意下載鏈接條目,並於當天約18:00刪除插入的條目;

6)毀屍滅跡:

12.15日17:12分:攻擊者再次登錄103.56.77.23,刪除了各類操作記錄,同時還原了ServerConfig.xm l文件。

至此,整個攻擊活動結束。本次事件時間線如下:

四、暴露問題

回顧此次網路定向攻擊行動,我們認為,D公司在整個內網機器和伺服器的管控上,暴露出如下弱點:

1、伺服器和辦公網未進行有效的隔離;

2、跳板機的許可權控制管理不夠嚴格;3、伺服器配置信息明文存儲在了相關的配置文件中;

4、內部缺少日誌審計;

5、企業內部員工的安全意識不足:明文存儲伺服器登錄帳號信息;多臺機器使用相同的密碼。

五、總結

該次攻擊是一次精心準備的針對D公司的定向攻擊活動,攻擊者掌握了眾多該公司的相關內部信息,如D公司內部人員的姓名、職位信息;跳板機的帳號密碼(未知渠道泄漏);升級伺服器配置策略;甚至包括公司的團建計劃。

攻擊者在內網潛伏長達1個月後,在D公司相關技術人員出國團建時,發起攻擊行動:修改配置文件,下發木馬程序。

與以往的大部分APT攻擊活動為了竊取敏感資料、破壞關鍵設施等不同,該次攻擊明顯是病毒傳播者牟取經濟利益進行攻擊活動的典型案例。該攻擊者試圖使用D公司的系列軟體進行供應鏈攻擊,構建殭屍網路,以此進行持續的獲利。

從騰訊御見威脅情報中心的監測數據發現,該次攻擊在短短兩小時內變擴散到10w用戶。雖然攻擊者在4小時後主動還原了相關配置,但木馬通過永恆之藍漏洞擴散,已形成持續傳播。

該次攻擊最終在騰訊安全御見威脅情報中心的率先預警下,D公司緊急取消團建行程、快速停止updrv.com伺服器DNS解析、升級伺服器升級組件等相關舉措下阻斷事態進一步擴散,但本次事件仍然對用戶造成了較明顯危害。

我們在此呼籲互聯網軟體企業,高度重視內部網路安全體系建設,主動排查和處理安全隱患,在軟體產品研發、測試、交付階段引入合規審計流程,避免再次出現類似安全事故。同時對於廣大用戶,請務必及時升級系統,安裝殺毒軟體,防止遭受惡意病毒的攻擊。

備註:由於跟進過程中發現的部分較敏感,分析過程中已省略。

六、安全建議

1、企業用戶做好內網的隔離,並且提升企業內部人員的安全意識,務必做到不要將極為敏感的帳號信息存儲在本地系統或雲服務中;

2、伺服器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解;

3、推薦企業用戶部署騰訊御界高級威脅檢測系統防禦可能的黑客攻擊。御界高級威脅檢測系統,是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統;

4、推薦企業用戶使用騰訊御點終端安全管理系統,騰訊御點內置全網漏洞修復和病毒防禦功能,可幫助企業用戶降低病毒木馬入侵風險。

5、針對個人用戶,推薦使用騰訊電腦管家攔截病毒攻擊。

來源:【轉】一場精心策劃的針對驅動人生公司的定向攻擊活動分析|NOSEC安全訊息平臺 - NOSEC.ORG

白帽匯從事信息安全,專註於安全大數據、企業威脅情報。

公司產品:FOFA-網路空間安全搜索引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平臺。

為您提供:網路空間測繪、企業資產收集、企業威脅情報、應急響應服務。


推薦閱讀:
相關文章