5月12日,攻击者利用“永恒之蓝”(EternalBlue)在全球范围内发起大规模勒索软件攻击。“影子经纪人”(Shadow Brokers)4月14日泄露的NSA黑客工具就包括“永恒之蓝”(EternalBlue),这款工具利用TCP 445端口SMB的漏洞发现网络中易受攻击的计算机,并横向扩散攻击者选择的恶意有效载荷。
但是,Proofpoint公司的研究人员还发现另一起规模巨大的攻击,其利用EternalBlue和后门DoublePulsar安装加密货币挖矿软件Adylkuzz。初步数据统计表明,这起攻击的规模可能比“WannaCry”还大,影响了全球几十万台PC和服务器,因为这起攻击关闭SMB网络,通过同样的漏洞阻止其他恶意软件(包括WannaCry蠕虫)感染,而这起攻击对上周五报道的WannaCry感染起到一定限制作用。
Adylkuzz攻击的征兆包括:共享Windows资源访问权丢失,PC和服务器的性能受到影响。
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
几个大型组织机构美国时间15日早上报告出现了网络问题,最初他们以为是WannaCry在作祟。然而未出现勒索信息,因此研究人员认为这些问题可能与Adylkuzz有关。但是,值得注意的是,Adylkuzz攻击活动在时间上早于WannaCry勒索攻击,至少自5月2日就开始了,可能最早始于4月24日,Adylkuzz攻击仍在持续,虽然不如WannaCry那般肆虐,但规模巨大,具有潜在破坏性。
Adylkuzz是如何被发现的?
在研究WannaCry勒索病毒的过程中,研究人员使用一台易遭受EternalBlue攻击的实验室电脑进行测试。虽然研究人员希望是WannaCry,但这台实验室电脑实际上却遭遇了Adylkuzz感染。研究人员经过多次重复操作,结果仍一致:即在20分钟内将易受攻击的设备暴露在公开网络中,结果该设备被加入Adylkuzz挖矿僵尸网络。
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
图1:某主机遭遇EternalBlue/DoublePulsar攻击,然后从另一台主机下载Adylkuzz
这起攻击从几台虚拟专用服务器发起,这些服务器在TCP 445端口上扫描互联网寻找潜在目标。
一旦成功利用EternalBlue,目标设备便会被DoublePulsar感染,之后,DoublePulsar后门从另一台主机下载并运行Adylkuzz。一旦运行,Adylkuzz将首先停止已经在运行的任何潜在实例,并阻止SMB通信,以避免进一步感染。此后,Adylkuzz确定受害者的公开IP地址,并下载挖矿指令、加密挖矿软件和清理工具。
似乎在任何给定时间内,有多台Adylkuzz命令与控制(C&C)服务器托管加密挖矿软件二进制和挖矿指令。
图2 显示Adylkuzz感染设备后生成的流量:
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
图2:感染后的流量
Adylkuzz正在挖“门罗币”而非比特币
这起攻击中,Adylkuzz被用来挖掘门罗币(Monero,XMR,E安全注:类似比特币的一种数字货币)。与比特币相比,门罗币的匿名功能更强大。自从被AlphaBay暗网市场采用后,门罗币活动激增。执法当局将AlphaBay暗网市场称之为“贩卖毒品、被盗信用卡和假冒产品的主要地下网站”。与其它加密货币一样,门罗币通过挖矿过程增加市场资本。挖矿过程是计算密集型的,但挖矿人会得到加密货币奖励,目前的区块奖励为7.58 门罗币或约1722元(205美元)。
图三显示Adylkuzz的门罗币挖矿,其散布要比比特币更容易,比特币目前通常需要专用的高性能设备。
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
图3: Adylkuzz感染虚拟机的部分行为分析,包括关闭SBM或启动门罗币挖矿
图4中显示了一个相关的门罗币地址。哈希率(Hash Rate)显示,与Adylkuzz僵尸网络特定实例相关的相对速度是门罗币挖矿,而总付款额显示的是向挖矿活动特定地址支付的金额。这种情况,在该地址相关挖矿活动停止前,付款金额超过15万元。
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
图4:Adylkuzz挖矿收入相关的一个门罗币地址
从一个Adylkuzz地址每天的挖矿金额可以看出,支付活动于4月24日开始激增,也就是攻击开始的时间。研究人员认为,5月11支付活动突然减少表明,攻击者转移到了新的挖矿用户地址(图5)。定期更换地址表明,攻击者试图避免将太多门罗币支付到一个地址。
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
图5:一个Adylkuzz挖矿地址的每日支付活动
图6中显示了第二个付款地址的统计数据和支付历史。该地址截止当时时间5月15日支付了超过4.8万元。
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
图6:Adylkuzz挖矿收入相关的第二个门罗币地址
第三个地址显示了较高的哈希率,支付总额超过9.6万元(图7)。
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
图7:Adylkuzz挖矿收入相关的第三个门罗币地址
目前,研究人员已经识别了超过20台主机设置在扫描和攻击,并有十几个Adylkuzz服务器在活跃。预计,还有更多门罗币挖矿付款地址,以及与这起活动相关的Adylkuzz C&C 服务器。
就像上周五爆发的WannaCry勒索病毒,这起攻击也使用了泄露的NSA网络武器工具,并利用Windows已打好补丁的漏洞。实际上,Adylkuzz攻击活动发生在WannaCry勒索病毒爆发数天前。对于运行老旧版本Windows或未打SMB补丁的组织机构或个人来说,PC和服务器仍易遭受这类攻击。此类攻击包括勒索软件、加密货币挖矿软件或其它任何类型的恶意软件,极具潜在破坏力,并且遭遇攻击的代价昂贵。这两起大型攻击活动利用的攻击工具和漏洞可能还会被其它人利用,因此,研究人员建议组织机构和个人尽快修复电脑。
攻击指示器(Indicators Of Compromise)
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
选择丢弃的样本
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全
执行命令
taskkill /f /im hdmanager.exe
C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding
taskkill /f /im mmc.exe
sc stop WELM
sc delete WELM
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
C:\Windows\Fonts\wuauser.exe --server
C:\Windows\Fonts\msiexev.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1V2suGMS8JyPEU5FTtJRTHQ9YmraW7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW6NtSRewnHF5MNA3LbQTBQV3v9i -p x -t 1
C:\Windows\TEMP\s2bk.1_.exe /stab C:\Windows\TEMP\s2bk.2_.log
taskkill /f /im msiexev.exe
netsh advfirewall firewall delete rule name="Chrome"
netsh advfirewall firewall delete rule name="Windriver"
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exe" action=allow
C:\Windows\445.bat
C:\Windows\system32\PING.EXE ping 127.0.0.1
net stop Windows32_Update
attrib +s +a +r +h wuauser.exe
C:\Windows\system32\SecEdit.exe secedit /configure /db C:\Windows\netbios.sdb
C:\Windows\system32\net1 stop Windows32_Update
Select ET signatures
2024217 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray
2024218 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
2024216 || ET EXPLOIT Possible DOUBLEPULSAR Beacon Response
2000419 || ET POLICY PE EXE or DLL Windows file download
2826160 || ETPRO TROJAN CoinMiner Known Malicious Stratum Authline (2017-04-28 1)
2017398 || ET POLICY Internal Host Retrieving External IP via icanhazip.com - Possible Infection
2022886 || ET POLICY Crypto Coin Miner Login
本文转自d1net(转载)