比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

5月12日,攻击者利用“永恒之蓝”(EternalBlue)在全球范围内发起大规模勒索软件攻击。“影子经纪人”(Shadow Brokers)4月14日泄露的NSA黑客工具就包括“永恒之蓝”(EternalBlue),这款工具利用TCP 445端口SMB的漏洞发现网络中易受攻击的计算机,并横向扩散攻击者选择的恶意有效载荷。

但是,Proofpoint公司的研究人员还发现另一起规模巨大的攻击,其利用EternalBlue和后门DoublePulsar安装加密货币挖矿软件Adylkuzz。初步数据统计表明,这起攻击的规模可能比“WannaCry”还大,影响了全球几十万台PC和服务器,因为这起攻击关闭SMB网络,通过同样的漏洞阻止其他恶意软件(包括WannaCry蠕虫)感染,而这起攻击对上周五报道的WannaCry感染起到一定限制作用。

Adylkuzz攻击的征兆包括:共享Windows资源访问权丢失,PC和服务器的性能受到影响。

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

几个大型组织机构美国时间15日早上报告出现了网络问题,最初他们以为是WannaCry在作祟。然而未出现勒索信息,因此研究人员认为这些问题可能与Adylkuzz有关。但是,值得注意的是,Adylkuzz攻击活动在时间上早于WannaCry勒索攻击,至少自5月2日就开始了,可能最早始于4月24日,Adylkuzz攻击仍在持续,虽然不如WannaCry那般肆虐,但规模巨大,具有潜在破坏性。

Adylkuzz是如何被发现的?

在研究WannaCry勒索病毒的过程中,研究人员使用一台易遭受EternalBlue攻击的实验室电脑进行测试。虽然研究人员希望是WannaCry,但这台实验室电脑实际上却遭遇了Adylkuzz感染。研究人员经过多次重复操作,结果仍一致:即在20分钟内将易受攻击的设备暴露在公开网络中,结果该设备被加入Adylkuzz挖矿僵尸网络。

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

图1:某主机遭遇EternalBlue/DoublePulsar攻击,然后从另一台主机下载Adylkuzz

这起攻击从几台虚拟专用服务器发起,这些服务器在TCP 445端口上扫描互联网寻找潜在目标。

一旦成功利用EternalBlue,目标设备便会被DoublePulsar感染,之后,DoublePulsar后门从另一台主机下载并运行Adylkuzz。一旦运行,Adylkuzz将首先停止已经在运行的任何潜在实例,并阻止SMB通信,以避免进一步感染。此后,Adylkuzz确定受害者的公开IP地址,并下载挖矿指令、加密挖矿软件和清理工具。

似乎在任何给定时间内,有多台Adylkuzz命令与控制(C&C)服务器托管加密挖矿软件二进制和挖矿指令。

图2 显示Adylkuzz感染设备后生成的流量:

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

图2:感染后的流量

Adylkuzz正在挖“门罗币”而非比特币

这起攻击中,Adylkuzz被用来挖掘门罗币(Monero,XMR,E安全注:类似比特币的一种数字货币)。与比特币相比,门罗币的匿名功能更强大。自从被AlphaBay暗网市场采用后,门罗币活动激增。执法当局将AlphaBay暗网市场称之为“贩卖毒品、被盗信用卡和假冒产品的主要地下网站”。与其它加密货币一样,门罗币通过挖矿过程增加市场资本。挖矿过程是计算密集型的,但挖矿人会得到加密货币奖励,目前的区块奖励为7.58 门罗币或约1722元(205美元)。

图三显示Adylkuzz的门罗币挖矿,其散布要比比特币更容易,比特币目前通常需要专用的高性能设备。

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

图3: Adylkuzz感染虚拟机的部分行为分析,包括关闭SBM或启动门罗币挖矿

图4中显示了一个相关的门罗币地址。哈希率(Hash Rate)显示,与Adylkuzz僵尸网络特定实例相关的相对速度是门罗币挖矿,而总付款额显示的是向挖矿活动特定地址支付的金额。这种情况,在该地址相关挖矿活动停止前,付款金额超过15万元。

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

图4:Adylkuzz挖矿收入相关的一个门罗币地址

从一个Adylkuzz地址每天的挖矿金额可以看出,支付活动于4月24日开始激增,也就是攻击开始的时间。研究人员认为,5月11支付活动突然减少表明,攻击者转移到了新的挖矿用户地址(图5)。定期更换地址表明,攻击者试图避免将太多门罗币支付到一个地址。

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

图5:一个Adylkuzz挖矿地址的每日支付活动

图6中显示了第二个付款地址的统计数据和支付历史。该地址截止当时时间5月15日支付了超过4.8万元。

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

图6:Adylkuzz挖矿收入相关的第二个门罗币地址

第三个地址显示了较高的哈希率,支付总额超过9.6万元(图7)。

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

图7:Adylkuzz挖矿收入相关的第三个门罗币地址

目前,研究人员已经识别了超过20台主机设置在扫描和攻击,并有十几个Adylkuzz服务器在活跃。预计,还有更多门罗币挖矿付款地址,以及与这起活动相关的Adylkuzz C&C 服务器。

就像上周五爆发的WannaCry勒索病毒,这起攻击也使用了泄露的NSA网络武器工具,并利用Windows已打好补丁的漏洞。实际上,Adylkuzz攻击活动发生在WannaCry勒索病毒爆发数天前。对于运行老旧版本Windows或未打SMB补丁的组织机构或个人来说,PC和服务器仍易遭受这类攻击。此类攻击包括勒索软件、加密货币挖矿软件或其它任何类型的恶意软件,极具潜在破坏力,并且遭遇攻击的代价昂贵。这两起大型攻击活动利用的攻击工具和漏洞可能还会被其它人利用,因此,研究人员建议组织机构和个人尽快修复电脑。

攻击指示器(Indicators Of Compromise)

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

选择丢弃的样本

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?-E安全

执行命令

taskkill /f /im hdmanager.exe

C:Windowssystem32wbemwmiprvse.exe -secured -Embedding

taskkill /f /im mmc.exe

sc stop WELM

sc delete WELM

netsh ipsec static add policy name=netbc

netsh ipsec static add filterlist name=block

netsh ipsec static add filteraction name=block action=block

netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445

netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block

netsh ipsec static set policy name=netbc assign=y

C:WindowsFontswuauser.exe --server

C:WindowsFontsmsiexev.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1V2suGMS8JyPEU5FTtJRTHQ9YmraW7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW6NtSRewnHF5MNA3LbQTBQV3v9i -p x -t 1

C:WindowsTEMP\s2bk.1_.exe /stab C:WindowsTEMP\s2bk.2_.log

taskkill /f /im msiexev.exe

netsh advfirewall firewall delete rule name="Chrome"

netsh advfirewall firewall delete rule name="Windriver"

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:Program FilesGoogleChromeApplicationchrome.txt" action=allow

netsh advfirewall firewall add rule name="Windriver" dir=in program="C:Program FilesHardware Driver Managementwindriver.exe" action=allow

C:Windows445.bat

C:Windowssystem32PING.EXE ping 127.0.0.1

net stop Windows32_Update

attrib +s +a +r +h wuauser.exe

C:Windowssystem32SecEdit.exe secedit /configure /db C:Windowsnetbios.sdb

C:Windowssystem32net1 stop Windows32_Update

Select ET signatures

2024217 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray

2024218 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response

2024216 || ET EXPLOIT Possible DOUBLEPULSAR Beacon Response

2000419 || ET POLICY PE EXE or DLL Windows file download

2826160 || ETPRO TROJAN CoinMiner Known Malicious Stratum Authline (2017-04-28 1)

2017398 || ET POLICY Internal Host Retrieving External IP via icanhazip.com - Possible Infection

2022886 || ET POLICY Crypto Coin Miner Login

本文转自d1net(转载)

相关文章
|
2月前
|
安全 网络协议 网络安全
|
4月前
|
自然语言处理 C# 开发者
Uno Platform多语言开发秘籍大公开:轻松驾驭全球用户,一键切换语言,让你的应用成为跨文化交流的桥梁!
【8月更文挑战第31天】Uno Platform 是一个强大的开源框架,允许使用 C# 和 XAML 构建跨平台的原生移动、Web 和桌面应用程序。本文详细介绍如何通过 Uno Platform 创建多语言应用,包括准备工作、设置多语言资源、XAML 中引用资源、C# 中加载资源以及处理语言更改。通过简单的步骤和示例代码,帮助开发者轻松实现应用的国际化。
47 1
|
4月前
|
网络协议 Windows
在电脑上测试TCP/UDP端口是否开放,还是得网络大佬这招厉害!
在电脑上测试TCP/UDP端口是否开放,还是得网络大佬这招厉害!
845 2
|
4月前
|
机器学习/深度学习 人工智能 自然语言处理
TensorFlow 中的循环神经网络超厉害!从理论到实践详解,带你领略 RNN 的强大魅力!
【8月更文挑战第31天】循环神经网络(RNN)在人工智能领域扮演着重要角色,尤其在TensorFlow框架下处理序列数据时展现出强大功能。RNN具有记忆能力,能捕捉序列中的长期依赖关系,适用于自然语言处理、机器翻译和语音识别等多个领域。尽管存在长期依赖和梯度消失等问题,但通过LSTM和GRU等改进结构可以有效解决。在TensorFlow中实现RNN十分简便,为处理复杂序列数据提供了有力支持。
45 0
|
4月前
|
运维 网络安全 iOS开发
厉害!外国网络工程师用Ansible给思科IOS设备升级!
厉害!外国网络工程师用Ansible给思科IOS设备升级!
|
安全 网络安全
WannaCry——新一代网络攻击的曙光
一年前的今天,经过数天的数字轰击后,网络安全的世界永远改变了。 仅仅一个周末,臭名昭着的勒索软件攻击WannaCry就感染了超过200,000台机器,造成数十亿美元的损失。勒索软件攻击事件一直都有,但是这次特殊攻击的速度和规模,以前从未见过。
1534 0
|
12天前
|
SQL 安全 网络安全
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
51 17

热门文章

最新文章