首页>安全资讯>你以为仅仅是WannaCry ? Adylkuzz才是幕后大Boss!

你以为仅仅是WannaCry ? Adylkuzz才是幕后大Boss!

近期引发轩然大波的WannaCry勒索软件攻击事件并非首例与美国NSA“永恒之蓝”及“双脉冲星”黑客工具相关的安全问题。ProofPoint公司的安全专家们发现,相当一部分设备之所以未受WannaCry影响,是因为其已经被Adylkuzz成功感染。

WannaCry

Adylkuzz才是WannaCry勒索软件的大哥

Proofpoint公司的研究人员们已经发现,隐藏式矿工Adylkuzz才是首例利用永恒之蓝触发服务器消息块(简称SMB)协议内安全漏洞的实际威胁。该僵尸网络利用永恒之蓝漏洞以提升恶意软件传播能力,同时通过双脉冲星后门立足目标设备传递恶意有效载荷。

Adylkuzz的圈地运动

一旦该矿工程序感染了目标设备,后者将无法访问共享型Windows资源、性能出现逐步下滑。而更值得注意的是,该恶意软件还会关闭SMB网络以防止所在设备被其它恶意软件进一步感染。

这意味着受到Adylkuzz感染的设备将不会遭到WannaCry勒索软件的破坏。换言之,如果没有Adylkuzz的存在,此段时间爆发的、利用同一安全漏洞的大规模勒索软件攻击影响也许会更加严重。

安全研究人员卡芬内(Kafeine)解释称,“一部分大型企业于最初将最近报告的网络问题归因于WannaCry活动。然而需要强调的是,Adylkuzz的恶意活动能力明显超越了WannaCry攻击。这一攻击活动仍在进行当中,尽管规模不及WannaCry,但影响范围仍然相当可观且拥有巨大的潜在破坏性。”

卡芬内推测称,Adylkuzz恶意软件可能已经修复了WannaCry所针对的安全漏洞,并由此限制了该勒索软件的传播规模。

Adylkuzz背后的恶意操纵者利用几套专用虚拟服务器来实施攻击,通过永恒之蓝漏洞完成入侵活动,而后经由双脉冲星后门程序以下载并执行Adylkuzz恶意软件。一旦Adylkuzz恶意软件成功感染目标设备,这款矿工程序会首先停止其自身的一切潜在实例,同时阻止SMB通信以避免发生进一步感染。其恶意代码还会确定受害者的公共IP地址,而后下载采矿指令、Monero加密矿工程序以及清理工具。

Adylkuzz

卡芬内进一步补充称,“其随后会确定受害者的公共IP地址,而后下载采矿指令、加密矿工程序以及清理工具。就目前来看,Adylkuzz在任意给定时间段内都拥有多套负责托管加密矿工程序二进制代码与采矿指令的命令与控制(简称C&C)服务器作为配合。”

糟糕的是Adylkuzz早于WannaCry采取行动

根据对欺诈分子所使用的Monero地址进行采矿支付情况分析,可以判断攻击活动从今年4月24日就已经开始,而到5月11日该攻击者应该已经切换到了新的采矿用户地址。截至目前,该攻击者总计通过三个不同的Monero地址收到约3万3千美元付款。

目前Proofpoint公司已经确定了超过20台用于扫描及攻击的主机,同时发现了十余台活跃Adylkuzz C&C服务器。预计还将有更多Monero采矿付款地址与Adylkuzz C&C服务器同这一恶意活动有所关联。

相关资讯:

WannaCry席卷全球,勒索软件作者赚了多少钱

上周五大规模传播的WannaCry勒索软件事件类似于好莱坞剧本,它像野火一样蔓延 - 从欧洲开始 - 感染了超过20万台电脑,其中包括英国国家卫生服务部门的大部分医院和医生办公室。

医疗系统,医疗APP,医疗软件应用漏洞频发,严重威胁到病人隐私

医疗设施遭受黑客攻击的威胁愈加严重,形式多样,比如针对性攻击、勒索软件攻击、DDoS攻击等,医疗设备厂商和医院技术团队应该重视网络安全防范,多关注一些医疗设备安全问题...

专家预测:2016年企业将面临更多网络敲诈

专家预测,2015年勒索软件即服务的成功意味着在2016年,企业将面临更多网络敲诈活动。Intel Security公司威胁情报恶意软件运营总监Christiaan Beek表示,在2015年,勒索软件...

2016年全球大型黑客攻击事件盘点

虽然勒索软件已经肆虐多年了,但是勒索软件不仅在2016年又上升了一个层次,而且还得到了人们的广泛关注。关注信息安全的同学们可能都知道,美国洛杉矶一家...