【原】比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的？

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全5月19日讯  5月12日，攻击者利用“永恒之蓝”（EternalBlue）在全球范围内发起大规模勒索软件攻击。“影子经纪人”（Shadow Brokers）4月14日泄露的NSA黑客工具就包括“永恒之蓝”（EternalBlue），这款工具利用TCP 445端口SMB的漏洞发现网络中易受攻击的计算机，并横向扩散攻击者选择的恶意有效载荷。
但是，Proofpoint公司的研究人员还发现另一起规模巨大的攻击，其利用EternalBlue和后门DoublePulsar安装加密货币挖矿软件Adylkuzz。初步数据统计表明，这起攻击的规模可能比“WannaCry”还大，影响了全球几十万台PC和服务器，因为这起攻击关闭SMB网络，通过同样的漏洞阻止其他恶意软件（包括WannaCry蠕虫）感染，而这起攻击对上周五报道的WannaCry感染起到一定限制作用。
Adylkuzz攻击的征兆包括：共享Windows资源访问权丢失，PC和服务器的性能受到影响。

几个大型组织机构美国时间15日早上报告出现了网络问题，最初他们以为是WannaCry在作祟。然而未出现勒索信息，因此研究人员认为这些问题可能与Adylkuzz有关。但是，值得注意的是，Adylkuzz攻击活动在时间上早于WannaCry勒索攻击，至少自5月2日就开始了，可能最早始于4月24日，Adylkuzz攻击仍在持续，虽然不如WannaCry那般肆虐，但规模巨大，具有潜在破坏性。

Adylkuzz是如何被发现的？

在研究WannaCry勒索病毒的过程中，研究人员使用一台易遭受EternalBlue攻击的实验室电脑进行测试。虽然研究人员希望是WannaCry，但这台实验室电脑实际上却遭遇了Adylkuzz感染。研究人员经过多次重复操作，结果仍一致：即在20分钟内将易受攻击的设备暴露在公开网络中，结果该设备被加入Adylkuzz挖矿僵尸网络。

图1：某主机遭遇EternalBlue/DoublePulsar攻击，然后从另一台主机下载Adylkuzz

这起攻击从几台虚拟专用服务器发起，这些服务器在TCP 445端口上扫描互联网寻找潜在目标。

一旦成功利用EternalBlue，目标设备便会被DoublePulsar感染，之后，DoublePulsar后门从另一台主机下载并运行Adylkuzz。一旦运行，Adylkuzz将首先停止已经在运行的任何潜在实例，并阻止SMB通信，以避免进一步感染。此后，Adylkuzz确定受害者的公开IP地址，并下载挖矿指令、加密挖矿软件和清理工具。
似乎在任何给定时间内，有多台Adylkuzz命令与控制（C&C）服务器托管加密挖矿软件二进制和挖矿指令。

图2 显示Adylkuzz感染设备后生成的流量：

图2：感染后的流量

Adylkuzz正在挖“门罗币”

而非比特币

这起攻击中，Adylkuzz被用来挖掘门罗币（Monero，XMR，E安全注：类似比特币的一种数字货币）。与比特币相比，门罗币的匿名功能更强大。自从被AlphaBay暗网市场采用后，门罗币活动激增。执法当局将AlphaBay暗网市场称之为“贩卖毒品、被盗信用卡和假冒产品的主要地下网站”。与其它加密货币一样，门罗币通过挖矿过程增加市场资本。挖矿过程是计算密集型的，但挖矿人会得到加密货币奖励，目前的区块奖励为7.58 门罗币或约1722元（205美元）。

图三显示Adylkuzz的门罗币挖矿，其散布要比比特币更容易，比特币目前通常需要专用的高性能设备。

图3： Adylkuzz感染虚拟机的部分行为分析，包括关闭SBM或启动门罗币挖矿

图4中显示了一个相关的门罗币地址。哈希率（Hash Rate）显示，与Adylkuzz僵尸网络特定实例相关的相对速度是门罗币挖矿，而总付款额显示的是向挖矿活动特定地址支付的金额。这种情况，在该地址相关挖矿活动停止前，付款金额超过15万元。

图4：Adylkuzz挖矿收入相关的一个门罗币地址

从一个Adylkuzz地址每天的挖矿金额可以看出，支付活动于4月24日开始激增，也就是攻击开始的时间。研究人员认为，5月11支付活动突然减少表明，攻击者转移到了新的挖矿用户地址（图5）。定期更换地址表明，攻击者试图避免将太多门罗币支付到一个地址。

图5：一个Adylkuzz挖矿地址的每日支付活动

图6中显示了第二个付款地址的统计数据和支付历史。该地址截止当时时间5月15日支付了超过4.8万元。

图6：Adylkuzz挖矿收入相关的第二个门罗币地址

第三个地址显示了较高的哈希率，支付总额超过9.6万元（图7）。

图7：Adylkuzz挖矿收入相关的第三个门罗币地址

目前，研究人员已经识别了超过20台主机设置在扫描和攻击，并有十几个Adylkuzz服务器在活跃。预计，还有更多门罗币挖矿付款地址，以及与这起活动相关的Adylkuzz C&C 服务器。

就像上周五爆发的WannaCry勒索病毒，这起攻击也使用了泄露的NSA网络武器工具，并利用Windows已打好补丁的漏洞。实际上，Adylkuzz攻击活动发生在WannaCry勒索病毒爆发数天前。对于运行老旧版本Windows或未打SMB补丁的组织机构或个人来说，PC和服务器仍易遭受这类攻击。此类攻击包括勒索软件、加密货币挖矿软件或其它任何类型的恶意软件，极具潜在破坏力，并且遭遇攻击的代价昂贵。这两起大型攻击活动利用的攻击工具和漏洞可能还会被其它人利用，因此，研究人员建议组织机构和个人尽快修复电脑。

攻击指示器

（Indicators Of Compromise）

选择丢弃的样本

执行命令

taskkill /f /im hdmanager.exe

C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding

taskkill /f /im mmc.exe

sc stop WELM

sc delete WELM

netsh ipsec static add policy name=netbc

netsh ipsec static add filterlist name=block

netsh ipsec static add filteraction name=block action=block

netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445

netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block

netsh ipsec static set policy name=netbc assign=y

C:\Windows\Fonts\wuauser.exe --server

C:\Windows\Fonts\msiexev.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1V2suGMS8JyPEU5FTtJRTHQ9YmraW7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW6NtSRewnHF5MNA3LbQTBQV3v9i -p x -t 1

C:\Windows\TEMP\\s2bk.1_.exe /stab C:\Windows\TEMP\\s2bk.2_.log

taskkill /f /im msiexev.exe

netsh advfirewall firewall delete rule name="Chrome"

netsh advfirewall firewall delete rule name="Windriver"

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files\Google\Chrome\Application\chrome.txt" action=allow

netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exe" action=allow

C:\Windows\445.bat

C:\Windows\system32\PING.EXE ping 127.0.0.1
net stop Windows32_Update
attrib +s +a +r +h wuauser.exe

C:\Windows\system32\SecEdit.exe secedit /configure /db C:\Windows\netbios.sdb

C:\Windows\system32\net1 stop Windows32_Update

Select ET signatures

• 2024217 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray

• 2024218 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response

• 2024216 || ET EXPLOIT Possible DOUBLEPULSAR Beacon Response

• 2000419 || ET POLICY PE EXE or DLL Windows file download

• 2826160 || ETPRO TROJAN CoinMiner Known Malicious Stratum Authline (2017-04-28 1)

• 2017398 || ET POLICY Internal Host Retrieving External IP via icanhazip.com - Possible Infection

• 2022886 || ET POLICY Crypto Coin Miner Login

19

E安全要闻简讯

官网：www.easyaq.com

2017年5月

01

土耳其将建立“网军”应对勒索病毒及其他网络威胁

02

Uber平台现身份认证漏洞，利用漏洞可重置任意账户密码

03

澳门将设网络安全预警中心以统一防范体系

04

Windows 7系统最易遭Wannacry勒索病毒感染 中俄两国受损严重

05

美国众议院通过《政府技术现代化法案》

06

比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的？