Endpoint Protection

暗号通貨のマイニングに使われる Adylkuzz が登場: WannaCry の系列とは別 

05-17-2017 10:18 PM

新しく出現した Adylkuzz というマルウェアが、MS17-010 を利用して脆弱なマシンに拡散していると報告されています。MS17-010 は、WannaCry がネットワークに拡散する際に悪用するのと同じ脆弱性ですが、Adylkuzz と WannaCry の共通点はこれだけです。

シマンテックの侵入防止システム(IPS)をお使いのお客様は、MS17-010 の悪用からプロアクティブに保護されています。

暗号通貨のマイニング

Adylkuzz の主な目的は、ビットコインに似た暗号通貨 Monero のマイニングです。Adylkuzz は、侵入先のマシンに、cpuminer という既知の暗号通貨マイニングプログラム(マイナー)をインストールします。マイニング処理はバックグラウンドで実行されるため、感染したマシンのユーザーが cpuminer の侵入に気付くことは、まずありません。ただし、マイニング処理は CPU 消費量が大きいため、マイナーが実行されていると、マシンのパフォーマンスが影響を受ける可能性があります。

煩わしいことは確かですが、ランサムウェアの脅威がデータの消失や大々的な機能停止につながるのに比べれば、Adylkuzz に感染したマシンの被害はそれほど大きくありません。

拡散の方法

Adylkuzz がマシンに侵入するとき利用しているのが、MS17-010 を悪用するコード、別名「Eternal Blue」です。Adylkuzz を操る攻撃者は、インターネットを物色して、脆弱なマシンがあるとこのマルウェアをインストールします。WannaCry と違って、Adylkuzz に自身を拡散する機能はありません。自己複製は WannaCry の機能であり、だからこそ WannaCry は侵入した組織で急速に拡散したのです。

流行は限定的

プロアクティブに感染を防ぐ IPS の効果により、シマンテックで確認されている Adylkuzz 感染率はごく少数にとどまっています。シマンテックは、MS17-10 を悪用しようとする試みを 4,400 万件以上も遮断していますが、Adylkuzz に感染したマシンは 200 台未満です。

保護の詳細

ネットワークベースの保護
シマンテックは、以下の IPS 保護を実施して、MS17-010 の脆弱性悪用の試みを遮断します。

ウイルス対策

【参考訳】

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.