澳门美高梅备用域名 - 比WannaCry还厉害的Adylkuzz挖矿僵尸网络

来源:拐河资讯 2020-01-10 14:39:48

澳门美高梅备用域名 - 比WannaCry还厉害的Adylkuzz挖矿僵尸网络

澳门美高梅备用域名,但是,proofpoint公司的研究人员还发现另一起规模巨大的攻击,其利用eternalblue和后门doublepulsar安装加密货币挖矿软件adylkuzz。初步数据统计表明,这起攻击的规模可能比“wannacry”还大,影响了全球几十万台pc和服务器,因为这起攻击关闭smb网络,通过同样的漏洞阻止其他恶意软件(包括wannacry蠕虫)感染,而这起攻击对上周五报道的wannacry感染起到一定限制作用。

adylkuzz攻击的征兆包括:共享windows资源访问权丢失,pc和服务器的性能受到影响。

几个大型组织机构美国时间15日早上报告出现了网络问题,最初他们以为是wannacry在作祟。然而未出现勒索信息,因此研究人员认为这些问题可能与adylkuzz有关。但是,值得注意的是,adylkuzz攻击活动在时间上早于wannacry勒索攻击,至少自5月2日就开始了,可能最早始于4月24日,adylkuzz攻击仍在持续,虽然不如wannacry那般肆虐,但规模巨大,具有潜在破坏性。

adylkuzz是如何被发现的?

在研究wannacry勒索病毒的过程中,研究人员使用一台易遭受eternalblue攻击的实验室电脑进行测试。虽然研究人员希望是wannacry,但这台实验室电脑实际上却遭遇了adylkuzz感染。研究人员经过多次重复操作,结果仍一致:即在20分钟内将易受攻击的设备暴露在公开网络中,结果该设备被加入adylkuzz挖矿僵尸网络。

图1:某主机遭遇eternalblue/doublepulsar攻击,然后从另一台主机下载adylkuzz

这起攻击从几台虚拟专用服务器发起,这些服务器在tcp 445端口上扫描互联网寻找潜在目标。

一旦成功利用eternalblue,目标设备便会被doublepulsar感染,之后,doublepulsar后门从另一台主机下载并运行adylkuzz。一旦运行,adylkuzz将首先停止已经在运行的任何潜在实例,并阻止smb通信,以避免进一步感染。此后,adylkuzz确定受害者的公开ip地址,并下载挖矿指令、加密挖矿软件和清理工具。

似乎在任何给定时间内,有多台adylkuzz命令与控制(c&c)服务器托管加密挖矿软件二进制和挖矿指令。

图2 显示adylkuzz感染设备后生成的流量:

图2:感染后的流量

adylkuzz正在挖“门罗币”而非比特币

图三显示adylkuzz的门罗币挖矿,其散布要比比特币更容易,比特币目前通常需要专用的高性能设备。

图3: adylkuzz感染虚拟机的部分行为分析,包括关闭sbm或启动门罗币挖矿

图4中显示了一个相关的门罗币地址。哈希率(hash rate)显示,与adylkuzz僵尸网络特定实例相关的相对速度是门罗币挖矿,而总付款额显示的是向挖矿活动特定地址支付的金额。这种情况,在该地址相关挖矿活动停止前,付款金额超过15万元。

图4:adylkuzz挖矿收入相关的一个门罗币地址

从一个adylkuzz地址每天的挖矿金额可以看出,支付活动于4月24日开始激增,也就是攻击开始的时间。研究人员认为,5月11支付活动突然减少表明,攻击者转移到了新的挖矿用户地址(图5)。定期更换地址表明,攻击者试图避免将太多门罗币支付到一个地址。

图5:一个adylkuzz挖矿地址的每日支付活动

图6中显示了第二个付款地址的统计数据和支付历史。该地址截止当时时间5月15日支付了超过4.8万元。

图6:adylkuzz挖矿收入相关的第二个门罗币地址

第三个地址显示了较高的哈希率,支付总额超过9.6万元(图7)。

图7:adylkuzz挖矿收入相关的第三个门罗币地址

目前,研究人员已经识别了超过20台主机设置在扫描和攻击,并有十几个adylkuzz服务器在活跃。预计,还有更多门罗币挖矿付款地址,以及与这起活动相关的adylkuzz c&c 服务器。

就像上周五爆发的wannacry勒索病毒,这起攻击也使用了泄露的nsa网络武器工具,并利用windows已打好补丁的漏洞。实际上,adylkuzz攻击活动发生在wannacry勒索病毒爆发数天前。对于运行老旧版本windows或未打smb补丁的组织机构或个人来说,pc和服务器仍易遭受这类攻击。此类攻击包括勒索软件、加密货币挖矿软件或其它任何类型的恶意软件,极具潜在破坏力,并且遭遇攻击的代价昂贵。这两起大型攻击活动利用的攻击工具和漏洞可能还会被其它人利用,因此,研究人员建议组织机构和个人尽快修复电脑。

攻击指示器(indicators of compromise)

选择丢弃的样本

执行命令

taskkill /f /im hdmanager.exe

c:\windows\system32\wbem\wmiprvse.exe -secured -embedding

taskkill /f /im mmc.exe

sc stop welm

sc delete welm

netsh ipsec static add policy name=netbc

netsh ipsec static add filterlist name=block

netsh ipsec static add filteraction name=block action=block

netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445

netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block

netsh ipsec static set policy name=netbc assign=y

c:\windows\fonts\wuauser.exe --server

c:\windows\temp\\s2bk.1_.exe /stab c:\windows\temp\\s2bk.2_.log

taskkill /f /im msiexev.exe

netsh advfirewall firewall delete rule name="chrome"

netsh advfirewall firewall delete rule name="windriver"

c:\windows\445.bat

c:\windows\system32\ping.exe ping 127.0.0.1

net stop windows32_update

attrib +s +a +r +h wuauser.exe

c:\windows\system32\secedit.exe secedit /configure /db c:\windows\netbios.sdb

c:\windows\system32\net1 stop windows32_update

select et signatures

2024217 || et exploit possible eternalblue ms17-010 heap spray

2024218 || et exploit possible eternalblue ms17-010 echo response

2024216 || et exploit possible doublepulsar beacon response

2000419 || et policy pe exe or dll windows file download

2826160 || etpro trojan coinminer known malicious stratum authline (2017-04-28 1)

2017398 || et policy internal host retrieving external ip via icanhazip.com - possible infection

2022886 || et policy crypto coin miner login

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

@e安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考。

上一篇:影视股半年报跌跌不休:爆款盈利难复制 行业面临洗牌
下一篇:吃腻了蒸蛋炒蛋煮蛋卤蛋,还有一个做法你在家一定没做过!巨好吃

责任编辑:匿名