又想打架了?见见Adylkuzz,它偷偷摸摸的加密货币挖掘兄弟


自2017年5月12日毁灭性攻击开始以来,全球已有40多万台计算机感染了WannaCry勒索软件。WannaCry已经损害了家庭和企业级公司的独立和联网的Windows电脑。最初的攻击之所以成为可能,是因为EternalBlue,即Shadow Brokers,一个匿名组声称他们很快会揭露更多零日漏洞。大约在专家们试图处理WannaCry攻击的同时,他们检测到了另一种与WannaCry属于同一家族的计算机病毒:Adylkuzz。

阿迪尔库兹是什么?

Adylkuzz悄悄地安装在你的电脑后台,是一种运行软件的病毒,它挖掘Monero,一种类似于比特币的加密货币。此病毒利用DoublePulsar和EternalBlue漏洞攻击系统,并中和服务器消息挡路网络,以防止其他恶意软件通过同一漏洞进行进一步攻击。令人惊讶的是,如果Adylkuzz没有阻止其他恶意软件利用SMB漏洞,WannaCry可能会产生更大的影响。

阿迪尔库兹的发现

在探索WannaCry的影响时,一些安全研究人员将他们的实验室机器暴露在EternalBlue漏洞下,以确定WannaCry是如何感染系统的;相反,他们发现了一种名为Adylkuzz的新恶意软件,该软件比WannaCry更突出。这些研究人员重复了几次这一操作,将其他几台机器暴露在网络上也存在同样的漏洞。他们的机器最终加入了Adylkuzz挖掘僵尸网络,从而激活了这种病毒。

Adylkuzz是如何渗透到您的网络中的?

从扫描TCP端口445上的入口点的各种虚拟专用服务器执行Adylkuzz。在使用EternalBlue成功攻击之后,机器就会感染双脉冲星。DoublePulsar为从另一台主机下载和安装Adylkuzz打开后门。安装后,Adylkuzz会阻止SMB通信,以避免进一步感染。然后,Adylkuzz识别受害者的公共IP地址,并将挖掘指令下载到他们的计算机。在任何给定时刻,都有多个Adylkuzz命令和控制服务器托管密码管理员的二进制文件和挖掘指令。

加密货币如何融入这一组合?

在过去的几年里,加密货币一直在获得吸引力,加密货币市场已经recently passed $77 billion。大多数加密货币都有能力直接将资金转移到一个地址--钱包--许多人将这一功能用于普通手段,如进行国际交易。但加密货币也有一些邪恶的用途,比如在从事病毒和黑市交易的个人中。

挖掘是产生像Monero这样的加密货币的唯一方法,但这是一个缓慢的过程,需要相当大的处理能力。像Adylkuzz这样的加密货币挖掘恶意软件在受感染的机器上实施隐藏的挖掘过程,以生成加密货币,而不会耗尽黑客自己的任何资源。在下载和执行挖掘指令或执行挖掘操作时,Adylkuzz会显著降低受感染计算机的速度。在主要的暗网市场AlphaBay开始接受Monero支付后,Adylkuzz开采的加密货币Monero广受欢迎。即使是开发WannaCry的黑客也使用了加密货币,要求受感染的用户用比特币支付赎金。

为您的系统打补丁,确保安全

阿迪尔库兹的攻击是在“想哭”的同时开始的。不幸的是,与WannaCry不同的是,Adylkuzz感染很难被最终用户识别,黑客最近改变了More Monero的送货地址。随着像WannaCry和Adylkuzz这样的攻击利用世界各地的网络,实施正确的安全措施对于保持领先至关重要。防止利用已知软件漏洞的最有效方法之一是打补丁。

安全专业人员每天都在努力阻止入侵,IT公司也在争先恐后地修补电脑。现在是领导人开始集思广益,以确保未来组织安全的时候了。专家建议组织应采用endpoint management solution使他们的系统保持最新,从而避免可能突然出现的任何漏洞。

对于那些没有实施Windows上个月发布的SMB补丁的人来说,他们的PC和服务器仍然容易受到Adylkuzz和其他实施此类攻击的病毒的攻击。勒索软件和病毒加密货币矿工具有破坏性,成本也很高,现在有两个主要威胁已经在他们的攻击工具中使用了它们,并使用了相同的漏洞,我们预计其他威胁很快就会接踵而至。

使用有效的补丁管理解决方案保护您自己免受模仿性攻击和所有WannaCry的“兄弟姐妹”的攻击。没有理由不检查漏洞。