12月14日发生的公司旗下几款软件早期版本升级模块被不法分子利用传播木马事件,经过数日不眠不休的排查,在深圳网安检测、腾讯、360、金山等公司的帮助下,我们基本理清了本次事件的脉络,把目前掌握的事件经过公布如下:
2018年11月12日 10:53 |
黑客使用国外IP代理成功侵入公司内网服务器A |
|---|---|
2018年11月13日 09:00 |
黑客利用服务器A在局域网内对同网段其他电脑下发SMB爆破,成功侵入存有升级服务器管理员和密码的内网服器B,由此获取了升级服务器的管理员账号密码 |
2018年11月15日 17:17 |
黑客第一次使用管理员账号密码成功登陆升级服务器 |
2018年12月04日 17:01 |
黑客第二次远程登陆升级服务器 |
2018年12月05日 |
黑客在国外匿名注册木马下载域名:ackng.com,为攻击做准备 |
2018年12月13日 14:22 |
黑客再次登陆升级服务器,为实施攻击做技术验证 |
2018年12月14日 14:15 |
黑客登陆升级服务器备份并修改配置文件,同时入侵数据库插入木马下载链接,开始实施攻击 |
2018年12月14日 18:05 |
黑客再次入侵数据库并删除木马下载链接,攻击中止 |
2018年12月14日 20:05 |
我公司紧急召集技术人员检查驱动人生客户端文件的完整性,一直持续到次日早上,并未发现有效证据 |
2018年12月15日 09:00 |
委托值守的同事向公司所在辖区的南山区高新派出所报案 |
2018年12月15日 11:00 |
向深圳网警和深圳互联网应急中心通报软件升级模块被木马利用等情况,同时向国内的主流杀毒软件厂商腾讯电脑管家团队、360安全卫士团队、金山毒霸安全团队请求协助 |
2018年12月15日 17:00 |
深圳市网安计算机安全检测有限公司派遣两位技术人员进驻我们公司,连续奋战了一个晚上,得到初步摸排结果,我公司的升级服务器被入侵了 |
2018年12月16日 12:00 |
驱动人生官网发布通告,确认服务器被入侵,为避免影响范围扩大,并下架了除临时官网外的所有服务器,同时关闭公司内部局域网 |
2018年12月16日 08:00 |
360威胁情报中心发布《研究报告:驱动人生旗下应用分发恶意代码事件分析 - 一个供应链攻击的案例》 |
2018年12月16日 14:00 |
我公司管理层和技术人员中断团建,当即紧急返回国内,并邀请腾讯安全团队协助我们排查升级服务器被入侵原因 |
2018年12月16日 20:00 |
由腾讯安全技术总监程虎亲自带队的安全团队和网安计算机安全检测公司的两位安全工程师组成的排查小组,和我们公司技术人员一起在公司办公室奋战了一夜,经过多轮的服务器和内网摸排,终于把黑客的攻击脉络整体摸清 |
2018年12月17日 16:00 |
腾讯御见威胁情报中心发布《研究报告:一场精心策划的针对驱动人生公司的定向攻击活动分析》 |
2018年12月18日 17:00 |
将该事件经过,书面呈交至南山区高新园派出所 |
至此,此事件已水落石出,黑客在此次事件中,潜伏时间跨度长达一个多月,目的性极强,技术水平较高,对公司的内部系统有一定程度的了解,充分表明这是一起黑客精心策划的针对我们公司的定向突袭。由于我们在安全管理方面不够完善,员工安全意识不强,造成对部分早期版本用户的电脑被感染。
我们决定花大力气整治服务器和内网安全,把安全问题落实到实处。所有的公司服务器和内网全部电脑设备都进行彻底清查整理,清理一台,恢复一台,以保证不给黑客留下任何可乘之机。
永恒之蓝漏洞目前国内的主流杀软都可以进行有效的预防和查杀。本次事件中,因为我们的老版本升级组件漏洞直接导致中木马的用户达到数万人,对受到损失的用户,我们表示最诚恳的歉意!
本次事件中,衷心感谢深圳市网安计算机安全检测有限公司和腾讯企业安全应急团队的彻夜协助排查,帮助我们及时查清了入侵路径,并给我们提供了多项安全建议。此后公司会把安全放在首位,尽早恢复软件正常服务,给广大用户提供安全有效的驱动安装与更新服务。
道路崎岖,砥砺前行!
深圳市驱动人生科技股份有限公司
2018年12月19日