2018年12月17日，利用“驅動人生”供應鏈傳播的木馬病毒感染了大量的主機。近日，該病毒再次升級變異，大面積襲擊國內政府、醫院、煤礦業以及各大企業。

最新變種在原有攻擊模塊（永恒之藍漏洞攻擊、SMB爆破、PSEXEC遠程執行）的基礎上，新增了MSSQL爆破攻擊的功能，更為致命的是，當病毒爆破成功后，還會將用戶密碼改為ksa8hd4,m@~#$%^&*()，嚴重影響業務正常運行。深信服緊急發布預警，提醒各行業用戶防范“驅動人生”最新木馬變種。

1、感染“驅動人生”病毒變種木馬的主機，會運行一個偽裝的svchost進程，該父進程會接著創建進程taskmgr、svchost以及cmd，其中taskmgr為挖礦進程。

2、 觀察計劃任務，會發現該病毒創建了多個定時任務，包括Ddrivers、DnsScan、WebServers、Bluetooths，其中Bluetooths為powershell無文件攻擊方式，定時執行powershell腳本從網上實時更新木馬病毒。

注冊表啟動項也新增了Ddriver。

3、主機會增加一個賬戶k8h3d。

4、病毒為了防止主機被其他病毒再次感染，創建了包括445、135、136、137、139等端口的禁用策略，可在防火墻策略中查看。

[1] 病毒母體自我復制到C:\Widnows\system32\drivers\svchost.exe和C:\Window\system32\svhost.exe路徑下，進行偽裝。

[2] 釋放傳播模塊\Temp\svchost.exe對內網主機進行攻擊，主要使用了永恒之藍、SQL Server爆破、SMB爆破以及psexec遠程執行命令等攻擊方式。

[3] 釋放潛伏模塊\system32\wmiex.exe，以創建注冊表啟動項、計劃任務等方式進行持久化攻擊。

[4] 調用cmd.exe來執行wmic.exe命令，清理一些系統工具和挖礦進程（搶占CPU）。

[5] 釋放挖礦模塊taskmgr.exe開始挖礦，所挖取的幣種為門羅幣。

已經下載“驅動人生”軟件的用戶，請手工更新版本或卸載該軟件。此外，因“驅動人生”軟件病毒存在傳播行為，存在主機相互感染的可能，不管主機是否有使用“驅動人生”，均建議用戶進行病毒檢測查殺及病毒防御。

病毒檢測查殺：

1、深信服下一代防火墻、安全感知平臺、EDR等安全產品均具備病毒檢測能力，部署相關產品用戶可進行病毒檢測，如圖所示：

2、深信服安全團隊針對最新“驅動人生”木馬變種，為廣大用戶免費提供專殺清除腳本，點擊鏈接進行下載（請使用管理員權限運行）：

https://edr.sangfor.com.cn/tool/驅動人生專殺2.1.zip

3、為更全面地進行病毒查殺，深信服為廣大用戶免費提供通用查殺工具，可下載如下工具，進行全盤檢測查殺：

https://edr.sangfor.com.cn/tool/SfabAntiBot.zip

病毒防御：

1、修復“永恒之藍”利用的MS17-010漏洞，補丁鏈接參考：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

2、若不使用共享服務，關閉相關共享端口(135、137、138、139、445)及不必要的端口。

3、內網PC操作系統使用復雜密碼。數據庫服務器包括數據庫SA密碼更改為復雜密碼。

4、深信服下一代防火墻、終端檢測響應平臺（EDR）均有防爆破功能。下一代防火墻開啟此功能并啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防御。

5、深信服下一代防火墻用戶，建議升級到AF805版本，并連接深信服安全云腦，實現病毒即時防御效果。

最后，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。推薦使用深信服安全感知平臺+下一代防火墻+EDR，對內網進行感知、查殺和防護。