一、概述2018年12月14日下午，騰訊安全禦見威脅情報中心監測到一款通過“驅動人生”系列軟體升級通道傳播的木馬突然爆發，僅2個小時受攻擊用戶就高達10萬。該病毒會通過雲控下發惡意程式碼，包括收集用戶資訊、挖礦等，同時利用“永恆之藍”高危漏洞進行擴散。騰訊禦見威脅情報中心立即對該病毒疫情對外通報，並發佈詳細的科技分析報告。2018年12月14日晚，驅動人生公司接到騰訊禦見威脅中心的事件預警後，對該事件高度重視，第一時間與騰訊安全禦見威脅情報中心進行聯系，告知在木馬爆發時，驅動人生公司相關科技人員正在國外旅遊團建，囙此高度懷疑該事件是驅動人生公司的陞級服務器被黑客攻擊導致，並請求騰訊企業安全應急回應中心一起協助追查事故原因。

2018年12月14日晚，驅動人生公司接到騰訊禦見威脅中心的事件預警後，對該事件高度重視，第一時間與騰訊安全禦見威脅情報中心進行聯系，告知在木馬爆發時，驅動人生公司相關科技人員正在國外旅遊團建，囙此高度懷疑該事件是驅動人生公司的陞級服務器被黑客攻擊導致，並請求騰訊企業安全應急回應中心一起協助追查事故原因。

同時，驅動人生公司對該事件向深圳警方報警，並對外發佈了緊急聲明和採取相應的應對措施。

2018年12月16日，驅動人生公司相關科技人員放弃團建緊急回國，騰訊企業安全應急回應中心也應邀派出安全工程師，於當晚協助驅動人生公司對本次駭客入侵事件進行溯源追查。經過通宵分析和排查，最終確定該事件是一起精心策劃的定向攻擊事件，入侵者歷時一個多月，利用驅動人生系列軟體的升級程式進行攻擊，達到構建僵屍網路，安裝雲控木馬、組網挖礦等非法目的。幸運的是，攻擊者此番利用，其目的只是安裝雲控木馬收集電腦資訊、控制肉雞電腦進行門羅幣挖礦。假如攻擊者利用此通道傳播勒索病毒，就會製造類似去年WannaCry爆發那樣的災難性後果。此次攻擊剛開始不久，就被騰訊禦見威脅情報中心率先攔截和查殺，最終該事件並未進一步擴大，攻擊者終究未能得逞。二、源頭定位經過對驅動人生系列軟體的陞級流程和組件進行深入分析，我們發現了相關流程如下（以人生行事曆為例）：

幸運的是，攻擊者此番利用，其目的只是安裝雲控木馬收集電腦資訊、控制肉雞電腦進行門羅幣挖礦。假如攻擊者利用此通道傳播勒索病毒，就會製造類似去年WannaCry爆發那樣的災難性後果。此次攻擊剛開始不久，就被騰訊禦見威脅情報中心率先攔截和查殺，最終該事件並未進一步擴大，攻擊者終究未能得逞。

安裝後會設定一個名為“wtsvc”的服務，該服務啟動後會加載UpdateHelper.dll、CheckUpdate.dll等DLL檔案：

開始陞級時UpdateHelper.dll指定陞級行程為DTLUpg.exe、陞級地址為globalupdate.updrv.com，埠為4040，配寘參數為update.xml：

陞級地址globalupdate.updrv.com通過功能變數名稱備案査詢可確定其所屬為驅動人生公司。

該功能變數名稱指向IP為103.56.77.23：

CheckUpdate.dll會負責拼接update.xml並將其作為參數啟動DTLUpg.exe。xml中包含更新檔案的url地址，IP以及hash等資訊：

本次攻擊中，相關的配寘資訊被替換：

由於驅動人生系列軟體在陞級中未校驗相關配寘資訊，導致木馬被下載執行。

根據上述分析，我們猜測，103.56.77.23這臺服務器可能被駭客攻陷，從而下發了惡意的陞級設定檔，導致用戶下載執行了木馬程式。三、騰訊安全專家受邀稽核服務器日誌追溯事件真相2018年12月16日，驅動人生公司（下麵簡稱D公司）的相關科技人員放弃團建緊急回國。受D公司邀請，騰訊企業安全應急回應中心派出安全工程師，於當晚協助D公司對該事件進行溯源追查。根據前面的分析，開始重點排查103.56.77.23這臺服務器。1、針對現時僅有的一些線索，雙方進行前期溝通，並梳理了相關流程和疑點，具體資訊如下：1）D公司除少部分值班人員，包括開發，運維等科技崗位集體於12月13日開始出國團建；2）陞級服務器103.56.77.23已經設定遠端存取限制，只允許特定IP登入操作；3）103.56.77.23機器通過服務“DTL_SoftupdateService”控制陞級配寘，下發到用戶端update.xml由兩部分數據組成：陞級url控制功能變數名稱（如dtl.update.updrv.com）和子路徑組成（寫在SQL資料庫）。下圖為103.56.77.23機器上負責陞級的配寘ServerConfig.xml，其中SQL資料庫登入IP和密碼明文存放在DBFilePath欄位中，囙此登入此服務器後即可同時掌握SQL帳號。

1、針對現時僅有的一些線索，雙方進行前期溝通，並梳理了相關流程和疑點，具體資訊如下：

1）D公司除少部分值班人員，包括開發，運維等科技崗位集體於12月13日開始出國團建；

2）陞級服務器103.56.77.23已經設定遠端存取限制，只允許特定IP登入操作；

3）103.56.77.23機器通過服務“DTL_SoftupdateService”控制陞級配寘，下發到用戶端update.xml由兩部分數據組成：陞級url控制功能變數名稱（如dtl.update.updrv.com）和子路徑組成（寫在SQL資料庫）。

下圖為103.56.77.23機器上負責陞級的配寘ServerConfig.xml，其中

4）103.56.77.23服務器和SQL資料庫在12.13--12.15期間存在异常登入和操作，這段期間相關開發人員均在國外團建。SQL資料庫在12.14日14:15--18:00時間段的异常增删操作，與電腦禦見威脅情報中心檢測到的驅動人生陞級通道下發病毒時間14:30--18:30吻合；5）D公司內允許使用部分遠程桌面軟件，暫時不能排除內網機器被遠程控制後登入103.56.77.23服務器；6）無法確認具體的异常登入機器源頭，已知線索為登入源電腦名”USER-PC”，但不是日常運維管理人員使用的機器；7）D公司會定期修改服務器103.56.77.23的administrator帳號為隨機密碼，僅有一比特運維工程師掌握密碼。2、根據前期溝通得到的相關線索，我們决定對該陞級服務器（103.56.77.23）和與陞級服務器登入相關的系統日誌進行詳細稽核，過程如下：1）12.14日事件爆發當天，這臺機器上“DTL_SoftupdateService”服務從14:19分開始被多次嘗試重啓，於14:32分後穩定開啟，疑似操作者調試修改效果後測試利用成功。

5）D公司內允許使用部分遠程桌面軟件，暫時不能排除內網機器被遠程控制後登入103.56.77.23服務器；

6）無法確認具體的异常登入機器源頭，已知線索為登入源電腦名”USER-PC”，但不是日常運維管理人員使用的機器；

7）D公司會定期修改服務器103.56.77.23的administrator帳號為隨機密碼，僅有一比特運維工程師掌握密碼。

2、根據前期溝通得到的相關線索，我們决定對該陞級服務器（103.56.77.23）和與陞級服務器登入相關的系統日誌進行詳細稽核，過程如下：

1）12.14日事件爆發當天，這臺機器上“DTL_SoftupdateService”服務從14:19分開始被多次嘗試重啓，於14:32分後穩定開啟，疑似操作者調試修改效果後測試利用成功。

2）繼續向上追溯該機器可以發現12.4日機器已經上存在”USER-PC”使用Administrator帳號登入成功的記錄，但並未有密碼爆破等嘗試而是直接登入成功。

3）繼續往前追溯，11.15日”USER-PC”即使用過某運維帳號ZeXX登入，經確認非運維人員本人操作。

4）由於無法確認”USER-PC”機器，我們决定優先排查運維人員常用辦公機器A，發現早在一個月前的11.13日，該機器被內網機器（192.168.xx.208）嘗試過SMB爆破，但並未直接成功。值得關注的是，192.168.xx.208在嘗試SMB爆破時，使用了4比特D公司員工姓名拼音作為用戶名嘗試，包括一比特已離職約半年的員工，這些員工崗位均為後臺開發，運維。而爆破過程中，從爆破開始到結束，爆破時間極短且爆破次數極少（20+次），囙此我們猜測，爆破的密碼字典非常有限，反映出攻擊者已熟知這些員工資訊。

值得關注的是，192.168.xx.208在嘗試SMB爆破時，使用了4比特D公司員工姓名拼音作為用戶名嘗試，包括一比特已離職約半年的員工，這些員工崗位均為後臺開發，運維。而爆破過程中，從爆破開始到結束，爆破時間極短且爆破次數極少（20+次），囙此我們猜測，爆破的密碼字典非常有限，反映出攻擊者已熟知這些員工資訊。

從其它內網機器看，11.13日當天機器192.168.xx.208對192內網段所有機器都發起了SMB爆破，其中192.168.xx.155機器被SMB爆破成功。5）192.168.xx.208是一臺部署在外地的編譯機，從該機器日誌向前追溯，11.12日機器192.168.xx.222曾經登入過192.168.xx.208，且登入源電腦正是”USER-PC”，追溯過程至此露出了曙光。

5）192.168.xx.208是一臺部署在外地的編譯機，從該機器日誌向前追溯，11.12日機器192.168.xx.222曾經登入過192.168.xx.208，且登入源電腦正是”USER-PC”，追溯過程至此露出了曙光。

6）進一步瞭解到，192.168.xx.222正是D公司的運維跳板機，為了防止惡意登入嘗試，D公司已經修改了遠程桌面默認埠。同時瞭解到運維人員為了方便日常使用，跳板機與192.168.xx.208192.168.xx.155等機器的管理員密碼相同，也就是說，如果有人掌握了D公司跳板機管理員密碼，理論上是可以通過跳板機控制到內網多臺其它機器。7）分析跳板機的登入記錄，在11.12日出現了可疑登入源95.211.168.228（荷蘭），D公司在荷蘭並無業務人員，同時排查出來自其它國家的异常登入記錄（84.39.112.58），基本確認是攻擊者通過代理來隱藏痕迹。同時跳板機的异常登入記錄與103.56.77.23服務器的异常登入記錄在12.4號後高度吻合。

7）分析跳板機的登入記錄，在11.12日出現了可疑登入源95.211.168.228（荷蘭），D公司在荷蘭並無業務人員，同時排查出來自其它國家的异常登入記錄（84.39.112.58），基本確認是攻擊者通過代理來隱藏痕迹。同時跳板機的异常登入記錄與103.56.77.23服務器的异常登入記錄在12.4號後高度吻合。

8）192.168.xx.155也是運維人員日常使用的一台機器，在跟進這臺機器時，我們發現運維人員為了工作方便，將陞級服務器103.56.77.23的帳號密碼明文記錄在工作目錄下檔案中。

3、根據上面的分析，我們認為基本可以還原整個攻擊鏈條。下麵是我們整理的整個攻擊事件的killchain（攻擊鏈）：1）前期準備：攻擊者收集D公司資訊，包括辦公出口IP，開發運維崗位員工名册，部分服務器內網IP，可能偵測確認了被修改的遠程桌面埠。2）實施入侵：11.12日10:53分：外網機器通過代理登入到跳板機（222）和編譯機（208）。3）橫向移動：11.13日：從9點開始，對192網段下發SMB爆破，且針對性使用運維崗員工姓名（LiuXX，SuXX，ChenXX，ZeXX）作為帳號名，主要目標為ZeXX，發現目標機器（155）；11.15日17:17分：”USER-PC”使用ZeXX帳號登入到陞級服務器103.56.77.23；12.4日17:01分：”USER-PC”（84.39.112.58）使用administrator帳號登入到陞級服務器103.56.77.23；4）準備攻擊：12.5日：本次攻擊中使用的模仿下載功能變數名稱ackng.com被注册。5）發動攻擊：12.13日14:22分：”USER-PC”（84.39.112.58）再次使用administrator帳號登入到陞級服務器103.56.77.23，疑似分析登入服務器配置方案；12.14日14:15分：”USER-PC”登入到陞級服務器103.56.77.23，備份並修改ServerConfig.xml檔案，同時登入SQL資料庫後插入惡意下載連結條目，並於當天約18:00删除插入的條目；

1）前期準備：攻擊者收集D公司資訊，包括辦公出口IP，開發運維崗位員工名册，部分服務器內網IP，可能偵測確認了被修改的遠程桌面埠。

2）實施入侵：11.12日10:53分：外網機器通過代理登入到跳板機（222）和編譯機（208）。

3）橫向移動：11.13日：從9點開始，對192網段下發SMB爆破，且針對性使用運維崗員工姓名（LiuXX，SuXX，ChenXX，ZeXX）作為帳號名，主要目標為ZeXX，發現目標機器（155）；11.15日17:17分：”USER-PC”使用ZeXX帳號登入到陞級服務器103.56.77.23；12.4日17:01分：”USER-PC”（84.39.112.58）使用administrator帳號登入到陞級服務器103.56.77.23；

4）準備攻擊：12.5日：本次攻擊中使用的模仿下載功能變數名稱ackng.com被注册。

5）發動攻擊：12.13日14:22分：”USER-PC”（84.39.112.58）再次使用administrator帳號登入到陞級服務器103.56.77.23，疑似分析登入服務器配置方案；

12.14日14:15分：”USER-PC”登入到陞級服務器103.56.77.23，備份並修改ServerConfig.xml檔案，同時登入SQL資料庫後插入惡意下載連結條目，並於當天約18:00删除插入的條目；

6）毀屍滅跡：12.15日17:12分：攻擊者再次登入103.56.77.23，删除了各類操作記錄，同時還原了ServerConfig.xml檔案。

至此，整個攻擊活動結束。本次事件時間線如下：

四、暴露問題回顧此次網絡定向攻擊行動，我們認為，D公司在整個內網機器和服務器的管控上，暴露出如下弱點：

1、服務器和辦公網未進行有效的隔離；2、跳板機的許可權控制管理不够嚴格；3、伺服器配置資訊明文存儲在了相關的設定檔中；4、內部缺少日誌稽核；5、企業內部員工的安全意識不足：明文存儲服務器登錄帳號資訊；多臺機器使用相同的密碼。五、總結該次攻擊是一次精心準備的針對D公司的定向攻擊活動，攻擊者掌握了眾多該公司的相關內部資訊，如D公司內部人員的姓名、職位資訊；跳板機的帳號密碼（未知通路洩漏）；陞級服務器配寘策略；甚至包括公司的團建計畫。

攻擊者在內網潜伏長達1個月後，在D公司相關科技人員出國團建時，發起攻擊行動：修改設定檔，下發木馬程式。與以往的大部分APT攻擊活動為了竊取敏感資料、破壞關鍵設施等不同，該次攻擊明顯是病毒傳播者牟取經濟利益進行攻擊活動的典型案例。該攻擊者試圖使用D公司的系列軟體進行供應鏈攻擊，構建僵屍網路，以此進行持續的獲利。

與以往的大部分APT攻擊活動為了竊取敏感資料、破壞關鍵設施等不同，該次攻擊明顯是病毒傳播者牟取經濟利益進行攻擊活動的典型案例。該攻擊者試圖使用D公司的系列軟體進行供應鏈攻擊，構建僵屍網路，以此進行持續的獲利。

從騰訊禦見威脅情報中心的監測數據發現，該次攻擊在短短兩小時內變擴散到10w用戶。雖然攻擊者在4小時後主動還原了相關配寘，但木馬通過永恆之藍漏洞擴散，已形成持續傳播。該次攻擊最終在騰訊安全禦見威脅情報中心的率先預警下，D公司緊急取消團建行程、快速停止updrv.com服務器DNS解析、陞級伺服器升級組件等相關舉措下阻斷事態進一步擴散，但本次事件仍然對用戶造成了較明顯危害。

該次攻擊最終在騰訊安全禦見威脅情報中心的率先預警下，D公司緊急取消團建行程、快速停止updrv.com服務器DNS解析、陞級伺服器升級組件等相關舉措下阻斷事態進一步擴散，但本次事件仍然對用戶造成了較明顯危害。

我們在此呼籲互聯網軟件企業，高度重視內部網路安全體系建設，主動排查和處理安全隱患，在軟體產品研發、測試、交付階段引入合規稽核流程，避免再次出現類似安全事故。同時對於廣大用戶，請務必及時陞級系統，安裝殺毒軟體，防止遭受惡意病毒的攻擊。備註：由於跟進過程中發現的部分較敏感，分析過程中已省略。六、安全建議1、企業用戶做好內網的隔離，並且提升企業內部人員的安全意識，務必做到不要將極為敏感的帳號資訊存儲在本地系統或雲服務中；2、服務器使用高强度密碼，切勿使用弱口令，防止駭客暴力破解；3、推薦企業用戶部署騰訊禦界高級威脅檢測系統防禦可能的駭客攻擊。禦界高級威脅檢測系統，是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統；

備註：由於跟進過程中發現的部分較敏感，分析過程中已省略。

2、服務器使用高强度密碼，切勿使用弱口令，防止駭客暴力破解；

3、推薦企業用戶部署騰訊禦界高級威脅檢測系統防禦可能的駭客攻擊。禦界高級威脅檢測系統，是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統；

4、推薦企業用戶使用騰訊禦點終端安全管理系統，騰訊禦點內寘全網漏洞修復和病毒防禦功能，可幫助企業用戶降低病毒木馬入侵風險。

5、針對個人用戶，推薦使用騰訊電腦管家攔截病毒攻擊。

瞭解騰訊企業級安全產品

騰訊禦見威脅情報中心誠邀各路英豪加盟