【概要】
- 利用する脆弱性
- MS17-010 を利用
- マルウェアの動作
- 侵入先のコンピュータに「sppsrv.exe」のサービスとしてインストール
- 他のマルウェアの感染を阻止する目的でポート445/TCPの通信をブロック
- 感染拡大の方法
- Eternal Blueを使用
- マイニング
- 暗号通貨 Monero のマイニング
- 侵入先のマシンに、cpuminer という既知の暗号通貨マイニングプログラム(マイナー)をインストール
- 特徴
- 侵入先のコンピュータに「sppsrv.exe」のサービスとしてインストール
- 他のマルウェアの感染を阻止する目的でポート445/TCPの通信をブロック
【ニュース】
◆暗号通貨のマイニングに使われる Adylkuzz が登場: WannaCry の系列とは別 (Symantec, 2017/05/17)
https://www.symantec.com/connect/blogs/adylkuzz-wannacry-0
◆国内でDOUBLEPULSARを利用する仮想通貨ボットネットの感染拡大を確認 (Cybereason, 2017/05/17)
https://www.cybereason.co.jp/blog/%E3%83%A9%E3%83%9C/1080/
◆新たな大規模サイバー攻撃、水面下で進行 WannaCry超える規模 (AFP BB NEWS, 2017/05/18 05:34)
http://www.afpbb.com/articles/-/3128596?act=all
◆新たなサイバー攻撃、仮想通貨を「勝手に」採掘 (WSJ, 2017/05/18 15:01)
http://jp.wsj.com/articles/SB10911804914205233901704583152463164048462
◆NSA流出の攻撃手法を使う仮想通貨マルウェア--日本の感染先で採掘か (ZDNet, 2017/05/18 15:59)
https://japan.zdnet.com/article/35101358/
◆新たな大規模サイバー攻撃、水面下で進行 WannaCry超える規模 (AFP BB NEWS, 2017/05/18 05:34)
http://www.afpbb.com/articles/-/3128596?act=all
◆仮想通貨であるMoneroコインを“掘り起こす”マルウェア「Adylkuzz」(ASCII.jp, 2017/05/19 19:00)
http://ascii.jp/elem/000/001/485/1485539/
◆NSA由来の「EternalBlue」、悪用は「WannaCrypt」より「Adylkuzz」が先 - 狙いは仮想通貨 (Security NEXT, 2017/05/19)
http://www.security-next.com/081834
◆【大規模サイバー攻撃】凶悪ウイルス「Adylkuzz」が感染爆発中! 知らぬ間にハッカーに送金… 真犯人と対策を専門家に聞いた (TOCANA, 2017/05/19)
http://tocana.jp/2017/05/post_13257_entry.html
◆「Eternalblue」又は「Doublepulsar」を悪用した攻撃活動等と考えられるアクセスの増加等について (@Police, 2018/02/14)
http://www.npa.go.jp/cyberpolice/detect/pdf/20180214.pdf
◆警察庁、EternalblueやDoublepulsarを悪用した攻撃活動等と考えられるアクセスの増加等について注意喚起 (Security Insight, 2018/02/16 10:00)
https://securityinsight.jp/news/13-inbrief/3011-180216-1
【ブログ】
◆重要な更新情報: WannaCryランサムウェア (Fortinet, 2017/05/15)
http://www.fortinet.co.jp/security_blog/170515-wannacry-ransomware.html
◆Critical Update: WannaCry Ransomware (Fortinet, 2017/05/15)
https://www.fortinet.com/blog/threat-research/wannacry-ransomware.html
◆暗号通貨マイニングマルウェア「Adylkuzz」がEternalBlue/DoublePulsarを介して拡散中 (Proofpoint, 2017/06/05)
https://www.proofpoint.com/jp/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar
◆WannaCry 2.0(+亜種)におけるワーム活動の詳細と残存するDoublePulsarについて (MBSD, 2017/06/29)
https://www.mbsd.jp/blog/20170629.html
【公開情報】
◆攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について (警察庁, 2017/05/15)
http://www.npa.go.jp/cyberpolice/important/2017/201705151.html
【関連情報】
「Eternalblue」を悪用した攻撃等と考えられる宛先ポート445/TCPに対するアクセス件数の推移
出典: http://www.npa.go.jp/cyberpolice/important/2017/201705151.html
出典: https://www.mbsd.jp/blog/20170629.html
出典: http://www.npa.go.jp/cyberpolice/detect/pdf/20180214.pdf
【インディケータ情報】
■ハッシュ情報(Sha256)
29d6f9f06fa780b7a56cae0aa888961b8bdc559500421f3bb3b97f3dd94797c2 | Pcap of the attack (filtered and a bit sanitized) |
8200755cbedd6f15eecd8207eba534709a01957b172d7a051b9cc4769ddbf233 | Adylkuzz.B spread via EB/DP |
450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f | Adylkuzz.A (we are not sure that instance was spread via EB/DP) |
a7000b2618512f1cb24b51f4ae2f34d332b746183dfad6483aba04571ba8b2f9 | s2bk.1_.exe |
e96681456d793368a6fccfa1321c10c593f3527d7cadb1ff462aa0359af61dee | 445.bat (? seems to cleanup old variant of the coin miner and stop windows Update) |
e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71 | Msiexev.exe Bitcoin miner process |
55622d4a582ceed0d54b12eb40222bca9650cc67b39f74c5f4b78320a036af88 | Bitcoin miner process |
6f74f7c01503913553b0a6118b0ea198c5a419be86fca4aaae275663806f68f3 | Adylkuzz.B spread via EB/DP |
fab31a2d44e38e733e1002286e5df164509afe18149a8a2f527ec6dc5e71cb00 | An old version of Adylkuzz |
d73c9230811f1075d5697679b6007f5c15a90177991e238c5adc3ed55ce04988 | Adylkuzz.B spread via EB/DP |