驱动人生遭遇APT攻击事件
年12月14日,国内Windows平台下免费驱动管理软件“驱动人生”通过软件自动升级的方式向用户推送了后门病毒DTSealer,该程序利用“永恒之蓝”高危漏洞进行局域网内的大范围传播,同时回传被感染用户电脑CPU以及IP地址等具体信息到攻击服务器,之后下载恶意代码进行执行。此次感染面积巨大,半天时间内已有数万用户电脑受到感染。
根据专业安全机构事件回溯,发现这是一场早有预谋的APT攻击,攻击者潜伏时间长达1个多月,并最终选择在驱动人生技术人员团队出国团建之时忽然爆发攻击,利用驱动人生系列软件的升级程序进行攻击,达到构建僵尸网络,安装云控木马、组网挖矿等非法目的。
根据安全机构事后还原,得到APT攻击链条如下:
1)前期准备
攻击者收集驱动人生公司信息,包括办公出口IP,开发运维岗位员工名册,部分服务器内网IP,可能嗅探确认了被修改的远程桌面端口。
2)实施入侵
11.12日10:53分:外网机器通过代理登录到跳板机()和编译机()。
3)横向移动
11.13日:从9点开始,对网段下发SMB爆破,且针对性使用运维岗员工姓名(LiuXX,SuXX,ChenXX,ZeXX)作为帐号名,主要目标为ZeXX,发现目标机器();
11.15日17:17分:使用ZeXX帐号登录到升级服务器;
12.4日17:01分:使用administrator帐号登录到升级服务器;
4)准备攻击
12.5日:本次攻击中使用的模仿下载域名ackng.