如果你沒被WannaCry感染就一定要小心Adylkuzz

E安全5月17日訊ProofPoint公司的安全專家們發現，相當一部分設備之所以未受WannaCry影響，是因為其已經被Adylkuzz成功感染。

近期引發軒然大波的WannaCry勒索軟體攻擊事件並非首例與美國NSA「永恆之藍」及「雙脈衝星」黑客工具相關的安全問題。

Adylkuzz才是WannaCry勒索軟體的大哥

Proofpoint公司的研究人員們已經發現，隱藏式礦工Adylkuzz才是首例利用永恆之藍觸發伺服器消息塊（簡稱SMB）協議內安全漏洞的實際威脅。

該殭屍網路利用永恆之藍漏洞以提升惡意軟體傳播能力，同時通過雙脈衝星後門立足目標設備傳遞惡意有效載荷。

本文系E安全官網獨家編譯報道

Adylkuzz的圈地運動

一旦該礦工程序感染了目標設備，後者將無法訪問共享型Windows資源、性能出現逐步下滑。而更值得注意的是，該惡意軟體還會關閉SMB網路以防止所在設備被其它惡意軟體進一步感染。

這意味著受到Adylkuzz感染的設備將不會遭到WannaCry勒索軟體的破壞。換言之，如果沒有Adylkuzz的存在，此段時間爆發的、利用同一安全漏洞的大規模勒索軟體攻擊影響也許會更加嚴重。

安全研究人員卡芬內（Kafeine）解釋稱，「一部分大型企業於最初將最近報告的網路問題歸因於WannaCry活動。然而需要強調的是，Adylkuzz的惡意活動能力明顯超越了WannaCry攻擊。這一攻擊活動仍在進行當中，儘管規模不及WannaCry，但影響範圍仍然相當可觀且擁有巨大的潛在破壞性。」

卡芬內推測稱，Adylkuzz惡意軟體可能已經修復了WannaCry所針對的安全漏洞，並由此限制了該勒索軟體的傳播規模。

Adylkuzz背後的惡意操縱者利用幾套專用虛擬伺服器來實施攻擊，通過永恆之藍漏洞完成入侵活動，而後經由雙脈衝星後門程序以下載並執行Adylkuzz惡意軟體。

一旦Adylkuzz惡意軟體成功感染目標設備，這款礦工程序會首先停止其自身的一切潛在實例，同時阻止SMB通信以避免發生進一步感染。

其惡意代碼還會確定受害者的公共IP地址，而後下載採礦指令、Monero加密礦工程序以及清理工具。

本文系E安全官網獨家編譯報道

卡芬內進一步補充稱，「其隨後會確定受害者的公共IP地址，而後下載採礦指令、加密礦工程序以及清理工具。就目前來看，Adylkuzz在任意給定時間段內都擁有多套負責託管加密礦工程序二進位代碼與採礦指令的命令與控制（簡稱C&C）伺服器作為配合。」

糟糕的是Adylkuzz早於WannaCry採取行動

根據對欺詐分子所使用的Monero地址進行採礦支付情況分析，可以判斷攻擊活動從今年4月24日就已經開始，而到5月11日該攻擊者應該已經切換到了新的採礦用戶地址。截至目前，該攻擊者總計通過三個不同的Monero地址收到約3萬3千美元付款。

目前Proofpoint公司已經確定了超過20台用於掃描及攻擊的主機，同時發現了十餘台活躍Adylkuzz C&C伺服器。E安全小編預計還將有更多Monero採礦付款地址與Adylkuzz C&C伺服器同這一惡意活動有所關聯。

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！