BLOG

ブログ

サイバーセキュリティの
最新情報をお届け

セキュリティの専門家による脅威情報、
テクノロジー、ニュース、製品情報など、
”今” 知りたい情報をお届けします。

Post by :
Assaf Dahan, Kohei Fujikawa, Tomonori Sawamura

2017年05月17日

国内でDOUBLEPULSARを利用する仮想通貨ボットネットの感染拡大を確認

ラボ

先週、Cybereasonは日本の複数のお客様環境で端末の仮想通貨ボットネットへの感染を確認しました。確認されたボットネットはProofpoint社の研究者による報告でも確認された、DoublePulsarを利用するものでした。DoublePulsarはMicrosoft Server Message Block (SMB) の脆弱性を利用し、関連するパッチが未適用のコンピュータに対してペイロードを送信することで感染を図ります。同パッチは2017年3月14日にSecurity Bulletin MS17-010の一部として公開されました。

 

Cybereasonで確認されたお客様環境の事象は、過去一週間で150ヶ国、推定200,000台程に広がった世界的なWannaCryランサムウェアへの感染が確認される以前より、Adylkuzzが仮想通貨のマイニングを行うために同脆弱性をエクスプロイトしていたと発信する他のセキュリティ研究者の結論を裏付けるものです。

この投稿では、Cybereasonが確認したDoublePulsarを利用するAdylkuzz仮想通貨ボットネットの振る舞いを紹介します。

 

DOUBLEPULSARによるAdylkuzzボットネットの展開

 

Cybereasonは、PID 4(Cybereaosnプラットフォームでsystem)のリスニングポート445番に対して、外部からの不審な内向きの通信を確認:

 

image21

(外部からのSMB通信がDOUBLEPULSARの展開を試みる)

 

DoublePulsarの利用を指し示す内向き通信の終了直後、感染したWindowsの正規サービスを通じて、仮想通貨ボットネットを呼び寄せるダウンローダーが実行されました。

以下、感染したサービス、それにより行われた名前解決、接続先IP:

image8_censoredimage4_censored

3

 

Cybereasonの上記の収集データはDOUBLEPULSARのバックドアがsvchost.exe(Diagnostic Tracking Service) を使って45(.)77.41.231からAdylkuzzボットネットをダウンロードしたことを示しています。

 

確認されたIPアドレスは複数のセキュリティベンダーにより、ShadowBrokers や Equation Groupに関連するIPと判定されています。

 

https://virustotal.com/en/ip-address/45.77.41.231/information/

https://virustotal.com/en/file/b704dd388be29de7a33e2a806dc1dfb391a8f22f0b8f5f4c858f9fcf18455288/analysis/

image9
 

Adylkuzz ボットネットの実行

 

AdylkuzzボットネットはDOUBLEPULSARによって一度ダウンロードされると、サービス(sppsrv.exe)としてインストールされることによりSYSTEM権限で実行され、以下の振る舞いを行いました。

  • 既知のIPサービスを利用してインターネットへの疎通、自身のグローバルIPを確認
  • Adylkuzz C&C サーバーとの通信
  • Monero 仮想通貨マイニングツールを含めたツールをダウンロード

image7_censored-1

 

Monero 仮想通貨マイニングツール

 

image6_censored

 

lms.exe – c3fbd25209ca8aff4a50106226713afc3c970143

以下のコマンドラインから、lms.exeプロセスによるMonero仮想通貨マイニングに関連するC&C通信を確認:

image31

 

確認されたMoneroマイニングプールサーバーへのDNSリクエスト:

image12
 
Adylkuzz による追加のツールやコマンドの実行:

image10_censored
 
Adylkuzzは多数のコマンドを実行するツール(s9u8.1_.exe – e40811db66973dd7d2be2f5eb5d5f0ed824a1a3b)を合わせてダウンロードします。同ツールはポート445(デフォルトのSMBのポート)で稼働する通信をブロックするWindowsファイアウォールのルールを作成することにより、同様のSMBエクスプロイトにより感染するマルウェアとの競合を避けようとします。
 
image11
 

確認されたバイナリファイル

File name SHA-1 hash
sppsrv.exe b152473428e0eb7c372e59e6978fcc69c30975b6

d2dac771a08d1826354a5d5728cbecf714d386c8

lms.exe c3fbd25209ca8aff4a50106226713afc3c970143
s9u8.1_.exe e40811db66973dd7d2be2f5eb5d5f0ed824a1a3b

 

確認されたドメインとIP

g.disgogoweb.com > 104.24.120.122 (Adylkuzz C&C サーバー)

xmr.crypto-pool.fr > 212.129.46.87 (Monero Crypto Pool Miner)

icanhazip.com – インターネットへの疎通、自身のグローバルIPの確認に利用
 

一覧に戻る