TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

暗号通貨マイニングマルウェア「Adylkuzz」がEternalBlue/DoublePulsarを介して拡散中

f:id:tanigawa:20190123052841p:plain
出典: https://www.proofpoint.com/jp/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar


【概要】

  • EternalBlue
    • NSAハッキングツールに含まれていたツール
    • Shadow Brokersが 2017/04/14に暴露
    • 445番ポート上のMicrosoft Server Message Block (SMB) を使ってネットワーク上の脆弱なコンピュータを検索
    • MS17-010)を利用
    • DoublePulsarと呼ばれるNSAバックドアを使ってWannaCryランサムウェアをインストール


【ブログ】

◆暗号通貨マイニングマルウェア「Adylkuzz」がEternalBlue/DoublePulsarを介して拡散中 (Proofpoint, 2017/06/05)
https://www.proofpoint.com/jp/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar


【関連まとめ記事】

◆DoublePulsar (まとめ)
http://malware-log.hatenablog.com/entry/DoublePulsar

【インディケータ情報】

■ハッシュ情報(Sha256)

29d6f9f06fa780b7a56cae0aa888961b8bdc559500421f3bb3b97f3dd94797c2 Pcap of the attack (filtered and a bit sanitized)
8200755cbedd6f15eecd8207eba534709a01957b172d7a051b9cc4769ddbf233 Adylkuzz.B spread via EB/DP
450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f Adylkuzz.A (we are not sure that instance was spread via EB/DP)
a7000b2618512f1cb24b51f4ae2f34d332b746183dfad6483aba04571ba8b2f9 s2bk.1_.exe
e96681456d793368a6fccfa1321c10c593f3527d7cadb1ff462aa0359af61dee 445.bat (? seems to cleanup old variant of the coin miner and stop windows Update)
e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71 Msiexev.exe Bitcoin miner process
55622d4a582ceed0d54b12eb40222bca9650cc67b39f74c5f4b78320a036af88 Bitcoin miner process
6f74f7c01503913553b0a6118b0ea198c5a419be86fca4aaae275663806f68f3 Adylkuzz.B spread via EB/DP
fab31a2d44e38e733e1002286e5df164509afe18149a8a2f527ec6dc5e71cb00 An old version of Adylkuzz
d73c9230811f1075d5697679b6007f5c15a90177991e238c5adc3ed55ce04988 Adylkuzz.B spread via EB/DP

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019