一场精心策划的针对驱动人生公司的定向攻击活动分析

发表于 2018-12-17  215 次阅读


文章目录

​​一、概述

2018年12月14日下午,腾讯安全御见威胁情报中心监测到一款通过“驱动人生”系列软件升级通道传播的木马突然爆发,仅2个小时受攻击用户就高达10万。该病毒会通过云控下发恶意代码,包括收集用户信息、挖矿等,同时利用“永恒之蓝”高危漏洞进行扩散。腾讯御见威胁情报中心立即对该病毒疫情对外通报,并发布详细的技术分析报告。

2018年12月14日晚,驱动人生公司接到腾讯御见威胁中心的事件预警后,对该事件高度重视,第一时间与腾讯安全御见威胁情报中心进行联系,告知在木马爆发时,驱动人生公司相关技术人员正在国外旅游团建,因此高度怀疑该事件是驱动人生公司的升级服务器被黑客攻击导致,并请求腾讯企业安全应急响应中心一起协助追查事故原因。同时,驱动人生公司对该事件向深圳警方报警,并对外发布了紧急声明和采取相应的应对措施。

图1

2018年12月16日,驱动人生公司相关技术人员放弃团建紧急回国,腾讯企业安全应急响应中心也应邀派出安全工程师,于当晚协助驱动人生公司对本次黑客入侵事件进行溯源追查。经过通宵分析和排查,最终确定该事件是一起精心策划的定向攻击事件,入侵者历时一个多月,利用驱动人生系列软件的升级程序进行攻击,达到构建僵尸网络,安装云控木马、组网挖矿等非法目的。

幸运的是,攻击者此番利用,其目的只是安装云控木马收集计算机信息、控制肉鸡电脑进行门罗币挖矿。假如攻击者利用此通道传播勒索病毒,就会制造类似去年WannaCry爆发那样的灾难性后果。此次攻击刚开始不久,就被腾讯御见威胁情报中心率先拦截和查杀,最终该事件并未进一步扩大,攻击者终究未能得逞。

二、源头定位

经过对驱动人生系列软件的升级流程和组件进行深入分析,我们发现了相关流程如下(以人生日历为例):

安装后会设置一个名为“wtsvc”的服务,该服务启动后会加载UpdateHelper.dll、CheckUpdate.dll等DLL文件:

图2
图3

​开始升级时UpdateHelper.dll指定升级进程为DTLUpg.exe、升级地址为globalupdate.updrv.com,端口为4040,配置参数为update.xml:

图4

​​升级地址globalupdate.updrv.com通过域名备案查询可确定其所属为驱动人生公司。

图5

​​该域名指向IP为103.56.77.23:

图6

​​CheckUpdate.dll会负责拼接update.xml并将其作为参数启动DTLUpg.exe。xml中包含更新文件的url地址,IP以及hash等信息:

图7


本次攻击中,相关的配置信息被替换:

图8

​​由于驱动人生系列软件在升级中未校验相关配置信息,导致木马被下载执行。

根据上述分析,我们猜测,103.56.77.23这台服务器可能被黑客攻陷,从而下发了恶意的升级配置文件,导致用户下载执行了木马程序。

三、腾讯安全专家受邀审计服务器日志追溯事件真相

2018年12月16日,驱动人生公司(下面简称D公司)的相关技术人员放弃团建紧急回国。受D公司邀请,腾讯企业安全应急响应中心派出安全工程师,于当晚协助D公司对该事件进行溯源追查。根据前面的分析,开始重点排查103.56.77.23这台服务器。

1、针对目前仅有的一些线索,双方进行前期沟通,并梳理了相关流程和疑点

具体信息如下:

1)D公司除少部分值班人员,包括开发,运维等技术岗位集体于12月13日开始出国团建;

2)升级服务器103.56.77.23已经设置远程登录限制,只允许特定IP登录操作;

3)103.56.77.23机器通过服务“DTL_SoftupdateService”控制升级配置,下发到客户端update.xml由两部分数据组成:升级url控制域名(如dtl.update.updrv.com)和子路径组成(写在SQL数据库)。

下图为103.56.77.23机器上负责升级的配置ServerConfig.xml,其中SQL数据库登录IP和密码明文存放在DBFilePath字段中,因此登录此服务器后即可同时掌握SQL帐号。

图9

​4)103.56.77.23服务器和SQL数据库在12.13--12.15期间存在异常登录和操作,这段期间相关开发人员均在国外团建。SQL数据库在12.14日14:15--18:00时间段的异常增删操作,与电脑御见威胁情报中心检测到的驱动人生升级通道下发病毒时间14:30--18:30吻合;

5)D公司内允许使用部分远程桌面软件,暂时不能排除内网机器被远程控制后登录103.56.77.23服务器;

6)无法确认具体的异常登录机器源头,已知线索为登录源计算机名”USER-PC”,但不是日常运维管理人员使用的机器;

7)D公司会定期修改服务器103.56.77.23的administrator帐号为随机密码,仅有一位运维工程师掌握密码。

2、根据前期沟通得到的相关线索,我们决定对该升级服务器(103.56.77.23)和与升级服务器登录相关的系统日志进行详细审计,过程如下:

1)12.14日事件爆发当天,这台机器上“DTL_SoftupdateService”服务从14:19分开始被多次尝试重启,于14:32分后稳定开启,疑似操作者调试修改效果后测试利用成功。

图10

​​2)继续向上追溯该机器可以发现12.4日机器已经上存在”USER-PC”使用Administrator帐号登录成功的记录,但并未有密码爆破等尝试而是直接登录成功。

图11

3)继续往前追溯,11.15日”USER-PC”即使用过某运维帐号ZeXX登录,经确认非运维人员本人操作。

图12

​​4)由于无法确认”USER-PC”机器,我们决定优先排查运维人员常用办公机器A,发现早在一个月前的11.13日,该机器被内网机器(192.168.xx.208)尝试过SMB爆破,但并未直接成功。值得关注的是,192.168.xx.208在尝试SMB爆破时,使用了4位D公司员工姓名拼音作为用户名尝试,包括一位已离职约半年的员工,这些员工岗位均为后台开发,运维。而爆破过程中,从爆破开始到结束,爆破时间极短且爆破次数极少(20+次),因此我们猜测,爆破的密码字典非常有限,反映出攻击者已熟知这些员工信息。

图13

​​从其它内网机器看,11.13日当天机器192.168.xx.208对192内网段所有机器都发起了SMB爆破,其中192.168.xx.155机器被SMB爆破成功。

5)192.168.xx.208是一台部署在外地的编译机,从该机器日志向前追溯,11.12日机器192.168.xx.222曾经登录过192.168.xx.208,且登录源计算机正是”USER-PC”,追溯过程至此露出了曙光。

图14

​6)进一步了解到,192.168.xx.222正是D公司的运维跳板机,为了防止恶意登录尝试,D公司已经修改了远程桌面默认端口。同时了解到运维人员为了方便日常使用,跳板机与192.168.xx.208,192.168.xx.155等机器的管理员密码相同,也就是说,如果有人掌握了D公司跳板机管理员密码,理论上是可以通过跳板机控制到内网多台其它机器。

7)分析跳板机的登录记录,在11.12日出现了可疑登录源95.211.168.228(荷兰),D公司在荷兰并无业务人员,同时排查出来自其它国家的异常登录记录(84.39.112.58),基本确认是攻击者通过代理来隐藏痕迹。同时跳板机的异常登录记录与103.56.77.23服务器的异常登录记录在12.4号后高度吻合。

图15

​​8)192.168.xx.155也是运维人员日常使用的一台机器,在跟进这台机器时,我们发现运维人员为了工作方便,将升级服务器103.56.77.23的帐号密码明文记录在工作目录下文档中。

图16

​​3、根据上面的分析,我们认为基本可以还原整个攻击链条。下面是我们整理的整个攻击事件的killchain(攻击链):

1)前期准备:

攻击者收集D公司信息,包括办公出口IP,开发运维岗位员工名册,部分服务器内网IP,可能嗅探确认了被修改的远程桌面端口。

2)实施入侵:

11.12日10:53分:外网机器通过代理登录到跳板机(222)和编译机(208)。

3)横向移动:

11.13日:从9点开始,对192网段下发SMB爆破,且针对性使用运维岗员工姓名(LiuXX,SuXX,ChenXX,ZeXX)作为帐号名,主要目标为ZeXX,发现目标机器(155);

11.15日17:17分:”USER-PC”使用ZeXX帐号登录到升级服务器103.56.77.23;

12.4日17:01分:”USER-PC”(84.39.112.58)使用administrator帐号登录到升级服务器103.56.77.23;

4)准备攻击:

12.5日:本次攻击中使用的模仿下载域名ackng.com被注册。

5)发动攻击:

12.13日14:22分:”USER-PC”(84.39.112.58)再次使用administrator帐号登录到升级服务器103.56.77.23,疑似分析登录服务器配置方案;

12.14日14:15分:”USER-PC” 登录到升级服务器103.56.77.23,备份并修改ServerConfig.xml文件,同时登录SQL数据库后插入恶意下载链接条目,并于当天约18:00删除插入的条目;

6)毁尸灭迹:

12.15日17:12分:攻击者再次登录103.56.77.23,删除了各类操作记录,同时还原了ServerConfig.xml文件。

图17

​至此,整个攻击活动结束。

图17-1 黑客攻击时间线
黑客攻击时间线

​​四、暴露问题

回顾此次网络定向攻击行动,我们认为,驱动人生公司在整个内网机器和服务器的管控上,暴露出如下弱点:

1、服务器和办公网未进行有效的隔离;

2、跳板机的权限控制管理不够严格;

3、服务器配置信息明文存储在了相关的配置文件中;

4、内部缺少日志审计;

5、企业内部员工的安全意识不足:明文存储服务器登录帐号信息;多台机器使用相同的密码。

五、总结

该次攻击是一次精心准备的针对驱动人生公司的定向攻击活动,攻击者掌握了众多该公司的相关内部信息,如驱动人生公司内部人员的姓名、职位信息;跳板机的帐号密码(未知渠道泄漏);升级服务器配置策略;甚至包括公司的团建计划。攻击者在内网潜伏长达1个月后,在驱动人生公司相关技术人员出国团建时,发起攻击行动:修改配置文件,下发木马程序。

与以往的大部分APT攻击活动为了窃取敏感资料、破坏关键设施等不同,该次攻击明显是病毒传播者牟取经济利益进行攻击活动的典型案例。该攻击者试图使用驱动人生公司的系列软件进行供应链攻击,构建僵尸网络,以此进行持续的获利。从腾讯御见威胁情报中心的监测数据发现,该次攻击在短短两小时内变扩散到10w用户。虽然攻击者在4小时后主动还原了相关配置,但木马通过永恒之蓝漏洞扩散,已形成持续传播。

该次攻击最终在腾讯安全御见威胁情报中心的率先预警下,驱动人生公司紧急取消团建行程、快速停止updrv.com服务器DNS解析、升级服务器升级组件等相关举措下阻断事态进一步扩散,但本次事件仍然对用户造成了较明显危害。

我们在此呼吁互联网企业,高度重视内部网络安全体系建设,主动排查和处理安全隐患,在软件产品研发、测试、交付阶段引入合规审计流程,避免再次出现类似安全事故。同时对于广大用户,请务必及时升级系统,安装杀毒软件,防止遭受恶意病毒的攻击。

备注:由于跟进过程中发现的部分较敏感,分析过程中已省略。

六、安全建议

1、企业用户做好内网的隔离,并且提升企业内部人员的安全意识,务必做到不要将极为敏感的帐号信息存储在本地系统或云服务中;

2、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

3、推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统;

图18

​4、推荐企业用户使用腾讯御点终端安全管理系统,腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险;

图19

​​5、针对个人用户,推荐使用腾讯电脑管家拦截病毒攻击。​

转自:腾讯御见威胁情报中心

本站文章基于国际协议BY-NA-SA 4.0协议共享;
如未特殊说明,本站文章皆为原创文章,请规范转载。

1

Follow my heart. Ожидающий вас.