用野火烧不尽，春风吹又生，来形容“死而不灭”的僵尸网络最合适不过。6月9日，360安全大脑监测到“驱动人生”僵尸网络的高危异动，其原有的僵尸模块进行大规模更新，增加“SMBv3漏洞利用”模块与“Redis未授权访问漏洞利用”模块，意图利用最新曝光的高危“蠕虫式”漏洞，扩展入侵范围感染更多计算机谋利。

　　经360安全大脑分析发现，SMBv3漏洞(又称SMBGhost漏洞，CVE-2020-0796)所具备的“零接触远程”攻陷受害目标机器的特性，对“驱动人生”僵尸网络扩散简直如虎添翼，如不加以防范，极可能诱发新一轮的僵尸网络肆虐。不过广大用户不必过分担心，360安全卫士不仅已在第一时间支持SMBv3漏洞的无补丁修复，并可高效拦截查杀“驱动人生”僵尸网络攻击。

　　“驱动人生”僵尸网络捡漏王，攻击模块抄底更新“蠕虫级”漏洞

　　“驱动人生”僵尸网络模块更新，或许是一场长期且有预谋的网络“捡漏”。360安全大脑监测数据显示，几天前国外安全研究人员曾通过网络公开SMBv3零接触远程漏洞利用代码，而“驱动人生”僵尸网络紧随其后，迅速将该漏洞收入武器库“为我所用”，以图升级僵尸网络的攻击力。

　　从360安全大脑此前披露的漏洞信息来看，SMBv3漏洞(CVE-2020-0796)是一个高危的零接触远程代码执行漏洞，可在无任何交互情况下，致使目标被非授权控制。这也就意味着，SMBv3漏洞一旦被“驱动人生”僵尸网络恶意利用，恐将在短时间内大幅度提升僵尸网络的“感染性”。

　　SMBv3漏洞攻击模块

　　360安全大脑监测数据显示，“驱动人生”僵尸网络新增的SMBv3漏洞攻击模块，具体函数名为smbghost_exec。该函数会从hxxp://d.ackng.com/smgh.bin下载SMBv3漏洞攻击程序并释放到目标机器中。

　　需要注意的是，经过上述操作攻陷目标机器后，SMBv3漏洞攻击模块还会执行下图所示命令，使感染目标沦为“驱动人生”僵尸网络的一个节点，进而对其他机器发起攻击。鉴于SMBv3漏洞影响范围覆盖Windows 10 1903及以上版本的特性，其威胁不言而喻。

　　SMBv3零接触远程漏洞攻击后执行的命令

　　二次更新linux攻击模块，360安全大脑斩断僵尸网络不死贼心

　　360安全大脑还在监测数据中发现，此次 “驱动人生”僵尸网络更新中，还增加了对Redis未授权访问漏洞的利用模块。该模块会扫描存在该漏洞的linux服务器，并在目标服务器中创建计划任务，让感染的linux服务器，惨变僵尸网络的新“传染源”。值得一提的是，这是360安全大脑监测到新增SSH爆破模块之后，“驱动人生”僵尸网络第二个针对linux服务器的攻击模块更新。

　　Redis未授权访问漏洞攻击模块

　　自2018年，“驱动人生”木马2小时感染10万电脑，惊爆网络至今，“驱动人生”僵尸网络从未停止网络非法淘金的步伐。而从360安全大脑监测数据显示，截至目前，SMB爆破(包括Pass the Hash攻击)模块和永恒之蓝漏洞攻击模块，是“驱动人生”挖矿僵尸网络中危害最大的攻击模块，多数被感染计算机均源自上述两模块。

　　“驱动人生”挖矿僵尸网络各攻击模块攻击机器数量一览

　　漏洞与利用共生，而随着新漏洞利用代码的面世，将有越来越多的漏洞利用代码，被“驱动人生”僵尸网络收为己用，成为新的攻击模块，危及网络安全。目前，在360安全大脑的极智赋能下，360安全卫士不仅在SMBv3零接触远程漏洞曝出的第一时间，率先支持无补丁漏洞修复，更可高效拦截包括“驱动人生”僵尸网络在内的各类攻击威胁，保障用户网络安全。

　　最后，针对威胁不断升级的“驱动人生”僵尸网络，360安全大脑给出以下几点安全建议：

　　1、前往weishi.360.cn下载安装360安全卫士，有效拦截此类漏洞利用威胁;

　　2、及时更新电脑系统，定期检测软件安全漏洞，第一时间修补补丁;

　　3、发现电脑异常时，及时使用360安全卫士进行体检扫描，查杀病毒木马;

　　4、提高安全意识，不随意点击来源不明的邮件、文档、链接等，并定期为操作系统、IE、Flash等常用软件打好补丁。

　　5、开启360安全卫士“网页安全防护”功能，辨别各类虚假诈骗网页，拦截钓鱼网站、危险链接，保障计算机信息安全。

　　责任编辑:张华