5月12日，攻擊者利用“永恒之藍”(EternalBlue)在全球范圍內發起大規模勒索軟件攻擊。“影子經紀人”(Shadow Brokers)4月14日泄露的NSA黑客工具就包括“永恒之藍”(EternalBlue)，這款工具利用TCP 445端口SMB的漏洞發現網絡中易受攻擊的計算機，并橫向擴散攻擊者選擇的惡意有效載荷。

但是，Proofpoint公司的研究人員還發現另一起規模巨大的攻擊，其利用EternalBlue和后門DoublePulsar安裝加密貨幣挖礦軟件Adylkuzz。初步數據統計表明，這起攻擊的規模可能比“WannaCry”還大，影響了全球幾十萬臺PC和服務器，因為這起攻擊關閉SMB網絡，通過同樣的漏洞阻止其他惡意軟件(包括WannaCry蠕蟲)感染，而這起攻擊對上周五報道的WannaCry感染起到一定限制作用。

Adylkuzz攻擊的征兆包括：共享Windows資源訪問權丟失，PC和服務器的性能受到影響。

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

幾個大型組織機構美國時間15日早上報告出現了網絡問題，最初他們以為是WannaCry在作祟。然而未出現勒索信息，因此研究人員認為這些問題可能與Adylkuzz有關。但是，值得注意的是，Adylkuzz攻擊活動在時間上早于WannaCry勒索攻擊，至少自5月2日就開始了，可能最早始于4月24日，Adylkuzz攻擊仍在持續，雖然不如WannaCry那般肆虐，但規模巨大，具有潛在破壞性。

Adylkuzz是如何被發現的?

在研究WannaCry勒索病毒的過程中，研究人員使用一臺易遭受EternalBlue攻擊的實驗室電腦進行測試。雖然研究人員希望是WannaCry，但這臺實驗室電腦實際上卻遭遇了Adylkuzz感染。研究人員經過多次重復操作，結果仍一致：即在20分鐘內將易受攻擊的設備暴露在公開網絡中，結果該設備被加入Adylkuzz挖礦僵尸網絡。

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

圖1：某主機遭遇EternalBlue/DoublePulsar攻擊，然后從另一臺主機下載Adylkuzz

這起攻擊從幾臺虛擬專用服務器發起，這些服務器在TCP 445端口上掃描互聯網尋找潛在目標。

一旦成功利用EternalBlue，目標設備便會被DoublePulsar感染，之后，DoublePulsar后門從另一臺主機下載并運行Adylkuzz。一旦運行，Adylkuzz將首先停止已經在運行的任何潛在實例，并阻止SMB通信，以避免進一步感染。此后，Adylkuzz確定受害者的公開IP地址，并下載挖礦指令、加密挖礦軟件和清理工具。

似乎在任何給定時間內，有多臺Adylkuzz命令與控制(C&C)服務器托管加密挖礦軟件二進制和挖礦指令。

圖2 顯示Adylkuzz感染設備后生成的流量：

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

圖2：感染后的流量

Adylkuzz正在挖“門羅幣”而非比特幣

這起攻擊中，Adylkuzz被用來挖掘門羅幣(Monero，XMR，E安全注：類似比特幣的一種數字貨幣)。與比特幣相比，門羅幣的匿名功能更強大。自從被AlphaBay暗網市場采用后，門羅幣活動激增。執法當局將AlphaBay暗網市場稱之為“販賣毒品、被盜信用卡和假冒產品的主要地下網站”。與其它加密貨幣一樣，門羅幣通過挖礦過程增加市場資本。挖礦過程是計算密集型的，但挖礦人會得到加密貨幣獎勵，目前的區塊獎勵為7.58 門羅幣或約1722元(205美元)。

圖三顯示Adylkuzz的門羅幣挖礦，其散布要比比特幣更容易，比特幣目前通常需要專用的高性能設備。

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

圖3： Adylkuzz感染虛擬機的部分行為分析，包括關閉SBM或啟動門羅幣挖礦

圖4中顯示了一個相關的門羅幣地址。哈希率(Hash Rate)顯示，與Adylkuzz僵尸網絡特定實例相關的相對速度是門羅幣挖礦，而總付款額顯示的是向挖礦活動特定地址支付的金額。這種情況，在該地址相關挖礦活動停止前，付款金額超過15萬元。

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

圖4：Adylkuzz挖礦收入相關的一個門羅幣地址

從一個Adylkuzz地址每天的挖礦金額可以看出，支付活動于4月24日開始激增，也就是攻擊開始的時間。研究人員認為，5月11支付活動突然減少表明，攻擊者轉移到了新的挖礦用戶地址(圖5)。定期更換地址表明，攻擊者試圖避免將太多門羅幣支付到一個地址。

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

圖5：一個Adylkuzz挖礦地址的每日支付活動

圖6中顯示了第二個付款地址的統計數據和支付歷史。該地址截止當時時間5月15日支付了超過4.8萬元。

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

圖6：Adylkuzz挖礦收入相關的第二個門羅幣地址

第三個地址顯示了較高的哈希率，支付總額超過9.6萬元(圖7)。

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

圖7：Adylkuzz挖礦收入相關的第三個門羅幣地址

目前，研究人員已經識別了超過20臺主機設置在掃描和攻擊，并有十幾個Adylkuzz服務器在活躍。預計，還有更多門羅幣挖礦付款地址，以及與這起活動相關的Adylkuzz C&C 服務器。

就像上周五爆發的WannaCry勒索病毒，這起攻擊也使用了泄露的NSA網絡武器工具，并利用Windows已打好補丁的漏洞。實際上，Adylkuzz攻擊活動發生在WannaCry勒索病毒爆發數天前。對于運行老舊版本Windows或未打SMB補丁的組織機構或個人來說，PC和服務器仍易遭受這類攻擊。此類攻擊包括勒索軟件、加密貨幣挖礦軟件或其它任何類型的惡意軟件，極具潛在破壞力，并且遭遇攻擊的代價昂貴。這兩起大型攻擊活動利用的攻擊工具和漏洞可能還會被其它人利用，因此，研究人員建議組織機構和個人盡快修復電腦。

攻擊指示器(Indicators Of Compromise)

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

選擇丟棄的樣本

比WannaCry還厲害的Adylkuzz挖礦僵尸網絡是怎么被發現的?-E安全

執行命令

taskkill /f /im hdmanager.exe

C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding

taskkill /f /im mmc.exe

sc stop WELM

sc delete WELM

netsh ipsec static add policy name=netbc

netsh ipsec static add filterlist name=block

netsh ipsec static add filteraction name=block action=block

netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445

netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block

netsh ipsec static set policy name=netbc assign=y

C:\Windows\Fonts\wuauser.exe --server

C:\Windows\Fonts\msiexev.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1V2suGMS8JyPEU5FTtJRTHQ9YmraW7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW6NtSRewnHF5MNA3LbQTBQV3v9i -p x -t 1

C:\Windows\TEMP\\s2bk.1_.exe /stab C:\Windows\TEMP\\s2bk.2_.log

taskkill /f /im msiexev.exe

netsh advfirewall firewall delete rule name="Chrome"

netsh advfirewall firewall delete rule name="Windriver"

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files\Google\Chrome\Application\chrome.txt" action=allow

netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exe" action=allow

C:\Windows\445.bat

C:\Windows\system32\PING.EXE ping 127.0.0.1

net stop Windows32_Update

attrib +s +a +r +h wuauser.exe

C:\Windows\system32\SecEdit.exe secedit /configure /db C:\Windows\netbios.sdb

C:\Windows\system32\net1 stop Windows32_Update

Select ET signatures

2024217 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray

2024218 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response

2024216 || ET EXPLOIT Possible DOUBLEPULSAR Beacon Response

2000419 || ET POLICY PE EXE or DLL Windows file download

2826160 || ETPRO TROJAN CoinMiner Known Malicious Stratum Authline (2017-04-28 1)

2017398 || ET POLICY Internal Host Retrieving External IP via icanhazip.com - Possible Infection

2022886 || ET POLICY Crypto Coin Miner Login