曾利用“驱动人生”软件传播的木马程序新变种新增利用大数据平台Hadoop Yarn未授权访问漏洞攻击方式

2020年10月28日，我国安全厂商腾讯公司发布报告，称曾利用“驱动人生”软件传播的木马程序近期再次更新，新增利用大数据平台Hadoop Yarn未授权访问漏洞攻击方式，可对云主机以及云上业务造成较大威胁。 曾利用“驱动人生”软件传播的木马攻击自2018年底以来一直处于活跃状态，期间不断增加其传播途径和攻击手段，攻击范围同时包含Windows系统和Linux系统。在此次更新后，攻击者通过利用Yarn未授权访问漏洞执行远程命令，在失陷的Linux系统中下载运行门罗币挖矿木马程序，并添加crontab定时任务实现挖矿活动的持久化。同时消除系统中的其它挖矿木马程序，并利用SSH爆破实现横向移动。 鉴于该木马目前已具有很强的传播能力和攻击性，且仍处于更新活跃状态，持续对我国用户形成较大的潜在威胁，建议我国广大用户增强网络安全防范意识，确保安装安全防护软件并将病毒库更新至最新版本；切勿打开具有迷惑性的邮件及其附件；检查并确认安装上述漏洞的官方补丁程序；对外部网络关闭445、135、137、139等端口及不必要的网络服务；同时，将服务器密码改为高强度密码，避免攻击者针对弱口令进行暴力破解。