挖矿僵尸网络在 WannaCry 前利用相同的 NSA 的黑客工具_Linux安全_Linux公社-Linux系统门户网站
你好，游客
挖矿僵尸网络在 WannaCry 前利用相同的 NSA 的黑客工具
来源：solidot.org&
作者：Linux
勒索软件WannaCry 过去的一个周末引起了全球关注，它利用了 NSA 开发的网络战工具进行传播。安全研究人员发现，在 WannaCry 之前就有挖掘数字货币的僵尸网络相同的 NSA 黑客工具。这次攻击不是为了安装勒索软件，而是安装挖矿软件 Adylkuzz。攻击者利用了神秘组织 Shadow Brokers 泄漏的 NSA 工具，包括代号为 EternalBlue 的漏洞利用和名为 DoublePulsar 的后门。这次攻击比 WannaCry 早大约两周时间，最早始于 4 月 24 日，最晚不迟于 5 月 2 日。攻击者首先是扫描 TCP 端口 445，寻找潜在的目标，如果成功被 EternalBlue 利用，机器将会感染 DoublePulsar 后门，然后下载和运行 Adylkuzz，挖掘名为门罗币（Monero）的匿名数字货币。
本文永久更新链接地址：
相关资讯 & & &
& (06月10日)
& (05月25日)
& (06月16日)
& (05月31日)
& (05月21日)
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款后使用快捷导航没有帐号？
研究发现有加密货币僵尸服务器在WannaCry蠕虫前利用微软漏洞
摘要: 和WannaCry勒索蠕虫一样，这个攻击利用“永恒之蓝”和DoublePulsar后门。但是不同的是攻击用这些漏洞传播Adylkuzz这款加密货币挖矿软件。知名网络安全公司Proofpoint的研究人员Kafeine推测这个攻击的开始时间最晚在 ...
和WannaCry勒索蠕虫一样，这个攻击利用“永恒之蓝”和DoublePulsar后门。但是不同的是攻击用这些漏洞传播Adylkuzz这款加密货币挖矿软件。知名网络安全公司Proofpoint的研究人员Kafeine推测这个攻击的开始时间最晚在五月2号，最早可能在四月24号。未安装微软补丁的局域网电脑极易受到攻击。在他博客发表的一篇文章中，他写道在研究WannaCry病毒的过程中，我们发现了一台可被永恒之蓝漏洞攻击的实验室机器。本来我们以为这台电脑会被勒索软件感染，但是我们发现感染电脑的实际上是Adylkuzz。几台匿名的虚拟服务器发起这项攻击，并在不断扫描445端口寻找攻击的目标。一旦成功利用永恒之蓝的漏洞，DoublePulsar后门会下载并运行Adylkuzz软件。之后，病毒会进行一系列的操作安装完整的挖矿软件。Kafeine表示部分认为自己电脑被WannaCry感染的用户实际上是被Adylkuzz攻击了。不过，因为攻击会关闭局域网通讯，所以这反而缩小了WannaCry的感染范围。
特别推荐：欲学习更多IT技术，请点击这里
，价值万元的VIP公开课免费学，还可以参与论坛和QQ群交流。
本文出处：/a4743938/
声明：本文搜集整理自互联网，版权归原作者所有，文中所述不代表本站观点，若有侵权或转载等不当之处请联系我们处理，请我们一起为维护良好的互联网秩序而努力，谢谢！联系方式见网站首页右下角。
上一篇：下一篇：E安全5月19日讯 5月12日，攻击者利用“永恒之蓝”（EternalBlue）在全球范围内发起大规模勒索软件攻击。“影子经纪人”（Shadow Brokers）4月14日泄露的NSA黑客工具就包括“永恒之蓝”（EternalBlue），这款工具利用TCP 445端口SMB的漏洞发现网络中易受攻击的计算机，并横向扩散攻击者选择的恶意有效载荷。但是，Proofpoint公司的研究人员还发现另一起规模巨大的攻击，其利用EternalBlue和后门DoublePulsar安装加密货币挖矿软件Adylkuzz。初步数据统计表明，这起攻击的规模可能比“WannaCry”还大，影响了全球几十万台PC和服务器，因为这起攻击关闭SMB网络，通过同样的漏洞阻止其他恶意软件（包括WannaCry蠕虫）感染，而这起攻击对上周五报道的WannaCry感染起到一定限制作用。Adylkuzz攻击的征兆包括：共享Windows资源访问权丢失，PC和服务器的性能受到影响。几个大型组织机构美国时间15日早上报告出现了网络问题，最初他们以为是WannaCry在作祟。然而未出现勒索信息，因此研究人员认为这些问题可能与Adylkuzz有关。但是，值得注意的是，Adylkuzz攻击活动在时间上早于WannaCry勒索攻击，至少自5月2日就开始了，可能最早始于4月24日，Adylkuzz攻击仍在持续，虽然不如WannaCry那般肆虐，但规模巨大，具有潜在破坏性。Adylkuzz是如何被发现的？在研究WannaCry勒索病毒的过程中，研究人员使用一台易遭受EternalBlue攻击的实验室电脑进行测试。虽然研究人员希望是WannaCry，但这台实验室电脑实际上却遭遇了Adylkuzz感染。研究人员经过多次重复操作，结果仍一致：即在20分钟内将易受攻击的设备暴露在公开网络中，结果该设备被加入Adylkuzz挖矿僵尸网络。图1：某主机遭遇EternalBlue/DoublePulsar攻击，然后从另一台主机下载Adylkuzz这起攻击从几台虚拟专用服务器发起，这些服务器在TCP 445端口上扫描互联网寻找潜在目标。一旦成功利用EternalBlue，目标设备便会被DoublePulsar感染，之后，DoublePulsar后门从另一台主机下载并运行Adylkuzz。一旦运行，Adylkuzz将首先停止已经在运行的任何潜在实例，并阻止SMB通信，以避免进一步感染。此后，Adylkuzz确定受害者的公开IP地址，并下载挖矿指令、加密挖矿软件和清理工具。似乎在任何给定时间内，有多台Adylkuzz命令与控制（C&C）服务器托管加密挖矿软件二进制和挖矿指令。图2 显示Adylkuzz感染设备后生成的流量：图2：感染后的流量Adylkuzz正在挖“门罗币”而非比特币这起攻击中，Adylkuzz被用来挖掘门罗币（Monero，XMR，E安全注：类似比特币的一种数字货币）。与比特币相比，门罗币的匿名功能更强大。自从被AlphaBay暗网市场采用后，门罗币活动激增。执法当局将AlphaBay暗网市场称之为“贩卖毒品、被盗信用卡和假冒产品的主要地下网站”。与其它加密货币一样，门罗币通过挖矿过程增加市场资本。挖矿过程是计算密集型的，但挖矿人会得到加密货币奖励，目前的区块奖励为7.58 门罗币或约1722元（205美元）。图三显示Adylkuzz的门罗币挖矿，其散布要比比特币更容易，比特币目前通常需要专用的高性能设备。图3： Adylkuzz感染虚拟机的部分行为分析，包括关闭SBM或启动门罗币挖矿图4中显示了一个相关的门罗币地址。哈希率（Hash Rate）显示，与Adylkuzz僵尸网络特定实例相关的相对速度是门罗币挖矿，而总付款额显示的是向挖矿活动特定地址支付的金额。这种情况，在该地址相关挖矿活动停止前，付款金额超过15万元。图4：Adylkuzz挖矿收入相关的一个门罗币地址从一个Adylkuzz地址每天的挖矿金额可以看出，支付活动于4月24日开始激增，也就是攻击开始的时间。研究人员认为，5月11支付活动突然减少表明，攻击者转移到了新的挖矿用户地址（图5）。定期更换地址表明，攻击者试图避免将太多门罗币支付到一个地址。图5：一个Adylkuzz挖矿地址的每日支付活动图6中显示了第二个付款地址的统计数据和支付历史。该地址截止当时时间5月15日支付了超过4.8万元。图6：Adylkuzz挖矿收入相关的第二个门罗币地址第三个地址显示了较高的哈希率，支付总额超过9.6万元（图7）。图7：Adylkuzz挖矿收入相关的第三个门罗币地址目前，研究人员已经识别了超过20台主机设置在扫描和攻击，并有十几个Adylkuzz服务器在活跃。预计，还有更多门罗币挖矿付款地址，以及与这起活动相关的Adylkuzz C&C 服务器。就像上周五爆发的WannaCry勒索病毒，这起攻击也使用了泄露的NSA网络武器工具，并利用Windows已打好补丁的漏洞。实际上，Adylkuzz攻击活动发生在WannaCry勒索病毒爆发数天前。对于运行老旧版本Windows或未打SMB补丁的组织机构或个人来说，PC和服务器仍易遭受这类攻击。此类攻击包括勒索软件、加密货币挖矿软件或其它任何类型的恶意软件，极具潜在破坏力，并且遭遇攻击的代价昂贵。这两起大型攻击活动利用的攻击工具和漏洞可能还会被其它人利用，因此，研究人员建议组织机构和个人尽快修复电脑。攻击指示器（Indicators Of Compromise）选择丢弃的样本执行命令taskkill /f /im hdmanager.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embeddingtaskkill /f /im mmc.exesc stop WELMsc delete WELMnetsh ipsec static add policy name=netbcnetsh ipsec static add filterlist name=blocknetsh ipsec static add filteraction name=block action=blocknetsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=blocknetsh ipsec static set policy name=netbc assign=yC:\Windows\Fonts\wuauser.exe --serverC:\Windows\Fonts\msiexev.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1V2suGMS8JyPEU5FTtJRTHQ9YmraW7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW6NtSRewnHF5MNA3LbQTBQV3v9i -p x -t 1C:\Windows\TEMP\\s2bk.1_.exe /stab C:\Windows\TEMP\\s2bk.2_.logtaskkill /f /im msiexev.exenetsh advfirewall firewall delete rule name="Chrome"netsh advfirewall firewall delete rule name="Windriver"netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files\Google\Chrome\Application\chrome.txt" action=allownetsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exe" action=allowC:\Windows\445.batC:\Windows\system32\PING.EXE ping 127.0.0.1net stop Windows32_Updateattrib +s +a +r +h wuauser.exeC:\Windows\system32\SecEdit.exe secedit /configure /db C:\Windows\netbios.sdbC:\Windows\system32\net1 stop Windows32_UpdateSelect ET signatures2024217 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray2024218 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response2024216 || ET EXPLOIT Possible DOUBLEPULSAR Beacon Response2000419 || ET POLICY PE EXE or DLL Windows file download2826160 || ETPRO TROJAN CoinMiner Known Malicious Stratum Authline ( 1)2017398 || ET POLICY Internal Host Retrieving External IP
- Possible Infection2022886 || ET POLICY Crypto Coin Miner Login@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考。