TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Adylkuzz (まとめ)

【概要】

  • 利用する脆弱性
    • MS17-010 を利用
  • マルウェアの動作
    • 侵入先のコンピュータに「sppsrv.exe」のサービスとしてインストール
    • 他のマルウェアの感染を阻止する目的でポート445/TCPの通信をブロック
  • 感染拡大の方法
    • Eternal Blueを使用
  • マイニング
    • 暗号通貨 Monero のマイニング
    • 侵入先のマシンに、cpuminer という既知の暗号通貨マイニングプログラム(マイナー)をインストール
  • 特徴
    • 侵入先のコンピュータに「sppsrv.exe」のサービスとしてインストール
    • 他のマルウェアの感染を阻止する目的でポート445/TCPの通信をブロック


【ニュース】

◆暗号通貨のマイニングに使われる Adylkuzz が登場: WannaCry の系列とは別 (Symantec, 2017/05/17)
https://www.symantec.com/connect/blogs/adylkuzz-wannacry-0

◆国内でDOUBLEPULSARを利用する仮想通貨ボットネットの感染拡大を確認 (Cybereason, 2017/05/17)
https://www.cybereason.co.jp/blog/%E3%83%A9%E3%83%9C/1080/

◆新たな大規模サイバー攻撃、水面下で進行 WannaCry超える規模 (AFP BB NEWS, 2017/05/18 05:34)
http://www.afpbb.com/articles/-/3128596?act=all

◆新たなサイバー攻撃、仮想通貨を「勝手に」採掘 (WSJ, 2017/05/18 15:01)
http://jp.wsj.com/articles/SB10911804914205233901704583152463164048462

◆NSA流出の攻撃手法を使う仮想通貨マルウェア--日本の感染先で採掘か (ZDNet, 2017/05/18 15:59)
https://japan.zdnet.com/article/35101358/

◆新たな大規模サイバー攻撃、水面下で進行 WannaCry超える規模 (AFP BB NEWS, 2017/05/18 05:34)
http://www.afpbb.com/articles/-/3128596?act=all

◆仮想通貨であるMoneroコインを“掘り起こす”マルウェア「Adylkuzz」(ASCII.jp, 2017/05/19 19:00)
http://ascii.jp/elem/000/001/485/1485539/

◆NSA由来の「EternalBlue」、悪用は「WannaCrypt」より「Adylkuzz」が先 - 狙いは仮想通貨 (Security NEXT, 2017/05/19)
http://www.security-next.com/081834

◆【大規模サイバー攻撃】凶悪ウイルス「Adylkuzz」が感染爆発中! 知らぬ間にハッカーに送金… 真犯人と対策を専門家に聞いた (TOCANA, 2017/05/19)
http://tocana.jp/2017/05/post_13257_entry.html

◆「Eternalblue」又は「Doublepulsar」を悪用した攻撃活動等と考えられるアクセスの増加等について (@Police, 2018/02/14)
http://www.npa.go.jp/cyberpolice/detect/pdf/20180214.pdf

◆警察庁、EternalblueやDoublepulsarを悪用した攻撃活動等と考えられるアクセスの増加等について注意喚起 (Security Insight, 2018/02/16 10:00)
https://securityinsight.jp/news/13-inbrief/3011-180216-1


【ブログ】

◆重要な更新情報: WannaCryランサムウェア (Fortinet, 2017/05/15)
http://www.fortinet.co.jp/security_blog/170515-wannacry-ransomware.html

◆Critical Update: WannaCry Ransomware (Fortinet, 2017/05/15)
https://www.fortinet.com/blog/threat-research/wannacry-ransomware.html

◆暗号通貨マイニングマルウェア「Adylkuzz」がEternalBlue/DoublePulsarを介して拡散中 (Proofpoint, 2017/06/05)
https://www.proofpoint.com/jp/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

◆WannaCry 2.0(+亜種)におけるワーム活動の詳細と残存するDoublePulsarについて (MBSD, 2017/06/29)
https://www.mbsd.jp/blog/20170629.html


【公開情報】

◆攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について (警察庁, 2017/05/15)
http://www.npa.go.jp/cyberpolice/important/2017/201705151.html


【関連情報】

f:id:tanigawa:20170516053034p:plain
「Eternalblue」を悪用した攻撃等と考えられる宛先ポート445/TCPに対するアクセス件数の推移
出典: http://www.npa.go.jp/cyberpolice/important/2017/201705151.html

f:id:tanigawa:20180510201850p:plain
出典: https://www.mbsd.jp/blog/20170629.html

f:id:tanigawa:20180517221057p:plain
出典: http://www.npa.go.jp/cyberpolice/detect/pdf/20180214.pdf



【インディケータ情報】

■ハッシュ情報(Sha256)

29d6f9f06fa780b7a56cae0aa888961b8bdc559500421f3bb3b97f3dd94797c2 Pcap of the attack (filtered and a bit sanitized)
8200755cbedd6f15eecd8207eba534709a01957b172d7a051b9cc4769ddbf233 Adylkuzz.B spread via EB/DP
450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f Adylkuzz.A (we are not sure that instance was spread via EB/DP)
a7000b2618512f1cb24b51f4ae2f34d332b746183dfad6483aba04571ba8b2f9 s2bk.1_.exe
e96681456d793368a6fccfa1321c10c593f3527d7cadb1ff462aa0359af61dee 445.bat (? seems to cleanup old variant of the coin miner and stop windows Update)
e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71 Msiexev.exe Bitcoin miner process
55622d4a582ceed0d54b12eb40222bca9650cc67b39f74c5f4b78320a036af88 Bitcoin miner process
6f74f7c01503913553b0a6118b0ea198c5a419be86fca4aaae275663806f68f3 Adylkuzz.B spread via EB/DP
fab31a2d44e38e733e1002286e5df164509afe18149a8a2f527ec6dc5e71cb00 An old version of Adylkuzz
d73c9230811f1075d5697679b6007f5c15a90177991e238c5adc3ed55ce04988 Adylkuzz.B spread via EB/DP

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023