【概要】
- EternalBlue
- NSAハッキングツールに含まれていたツール
- Shadow Brokersが 2017/04/14に暴露
- 445番ポート上のMicrosoft Server Message Block (SMB) を使ってネットワーク上の脆弱なコンピュータを検索
- MS17-010)を利用
- DoublePulsarと呼ばれるNSAバックドアを使ってWannaCryランサムウェアをインストール
【ブログ】
◆暗号通貨マイニングマルウェア「Adylkuzz」がEternalBlue/DoublePulsarを介して拡散中 (Proofpoint, 2017/06/05)
https://www.proofpoint.com/jp/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar
【関連まとめ記事】
◆DoublePulsar (まとめ)
http://malware-log.hatenablog.com/entry/DoublePulsar
【インディケータ情報】
■ハッシュ情報(Sha256)
29d6f9f06fa780b7a56cae0aa888961b8bdc559500421f3bb3b97f3dd94797c2 | Pcap of the attack (filtered and a bit sanitized) |
8200755cbedd6f15eecd8207eba534709a01957b172d7a051b9cc4769ddbf233 | Adylkuzz.B spread via EB/DP |
450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f | Adylkuzz.A (we are not sure that instance was spread via EB/DP) |
a7000b2618512f1cb24b51f4ae2f34d332b746183dfad6483aba04571ba8b2f9 | s2bk.1_.exe |
e96681456d793368a6fccfa1321c10c593f3527d7cadb1ff462aa0359af61dee | 445.bat (? seems to cleanup old variant of the coin miner and stop windows Update) |
e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71 | Msiexev.exe Bitcoin miner process |
55622d4a582ceed0d54b12eb40222bca9650cc67b39f74c5f4b78320a036af88 | Bitcoin miner process |
6f74f7c01503913553b0a6118b0ea198c5a419be86fca4aaae275663806f68f3 | Adylkuzz.B spread via EB/DP |
fab31a2d44e38e733e1002286e5df164509afe18149a8a2f527ec6dc5e71cb00 | An old version of Adylkuzz |
d73c9230811f1075d5697679b6007f5c15a90177991e238c5adc3ed55ce04988 | Adylkuzz.B spread via EB/DP |