先週、Cybereasonは日本の複数のお客様環境で端末の仮想通貨ボットネットへの感染を確認しました。確認されたボットネットはProofpoint社の研究者による報告でも確認された、DoublePulsarを利用するものでした。DoublePulsarはMicrosoft Server Message Block (SMB) の脆弱性を利用し、関連するパッチが未適用のコンピュータに対してペイロードを送信することで感染を図ります。同パッチは2017年3月14日にSecurity Bulletin MS17-010の一部として公開されました。

Cybereasonで確認されたお客様環境の事象は、過去一週間で150ヶ国、推定200,000台程に広がった世界的なWannaCryランサムウェアへの感染が確認される以前より、Adylkuzzが仮想通貨のマイニングを行うために同脆弱性をエクスプロイトしていたと発信する他のセキュリティ研究者の結論を裏付けるものです。

この投稿では、Cybereasonが確認したDoublePulsarを利用するAdylkuzz仮想通貨ボットネットの振る舞いを紹介します。

DOUBLEPULSARによるAdylkuzzボットネットの展開

Cybereasonは、PID 4（Cybereaosnプラットフォームでsystem）のリスニングポート445番に対して、外部からの不審な内向きの通信を確認：

（外部からのSMB通信がDOUBLEPULSARの展開を試みる）

DoublePulsarの利用を指し示す内向き通信の終了直後、感染したWindowsの正規サービスを通じて、仮想通貨ボットネットを呼び寄せるダウンローダーが実行されました。

以下、感染したサービス、それにより行われた名前解決、接続先IP：

Cybereasonの上記の収集データはDOUBLEPULSARのバックドアがsvchost.exe(Diagnostic Tracking Service) を使って45(.)77.41.231からAdylkuzzボットネットをダウンロードしたことを示しています。

確認されたIPアドレスは複数のセキュリティベンダーにより、ShadowBrokers や Equation Groupに関連するIPと判定されています。

https://virustotal.com/en/ip-address/45.77.41.231/information/

https://virustotal.com/en/file/b704dd388be29de7a33e2a806dc1dfb391a8f22f0b8f5f4c858f9fcf18455288/analysis/

Adylkuzz ボットネットの実行

AdylkuzzボットネットはDOUBLEPULSARによって一度ダウンロードされると、サービス(sppsrv.exe)としてインストールされることによりSYSTEM権限で実行され、以下の振る舞いを行いました。

• 既知のIPサービスを利用してインターネットへの疎通、自身のグローバルIPを確認
• Adylkuzz C&C サーバーとの通信
• Monero 仮想通貨マイニングツールを含めたツールをダウンロード

Monero 仮想通貨マイニングツール

lms.exe – c3fbd25209ca8aff4a50106226713afc3c970143

以下のコマンドラインから、lms.exeプロセスによるMonero仮想通貨マイニングに関連するC＆C通信を確認：

確認されたMoneroマイニングプールサーバーへのDNSリクエスト：

 
Adylkuzz による追加のツールやコマンドの実行：

 
Adylkuzzは多数のコマンドを実行するツール(s9u8.1_.exe – e40811db66973dd7d2be2f5eb5d5f0ed824a1a3b)を合わせてダウンロードします。同ツールはポート445（デフォルトのSMBのポート）で稼働する通信をブロックするWindowsファイアウォールのルールを作成することにより、同様のSMBエクスプロイトにより感染するマルウェアとの競合を避けようとします。
 

 

確認されたバイナリファイル

確認されたドメインとIP

g.disgogoweb.com > 104.24.120.122 (Adylkuzz C&C サーバー)

xmr.crypto-pool.fr > 212.129.46.87 (Monero Crypto Pool Miner)

icanhazip.com – インターネットへの疎通、自身のグローバルIPの確認に利用