一安全研究人员发现了一款新的恶意软件。这款恶意软件与 WannaCry勒索软件 一样,通过利用Windows SMB文件共享协议中的漏洞自行传播,但是与后者不同的是,它使用了近期泄露的美国国家安全局(NSA)的7种黑客工具,而后者仅使用了2种!
update:应对方法看这里 【下载】永恒之石EternalRocks蠕虫病毒影响全球24万台主机 绿盟科技发布应急处置方案
EternalRocks居然用了7种NSA黑客工具
上周,我们警告说,多个黑客组织目前正利用遭泄露的NSA黑客工具,不过多数组织仅使用其中的两种工具:EternalBlue(永恒之蓝)和DoublePulsar(脉冲双星)。
安全研究人员Miroslav Stampar(曾开发了著名的“sqlmap”工具,现为克罗地亚政府CERT成员)近期发现了一款名为“EternalRocks”(永恒之石)的新的网络蠕虫,其危险程度超过WannaCry,且没有开关域名。
与WannaCry不同,设计EternalRocks的人似乎有意让它暗中运行,使它可以潜伏在受影响系统中而不被察觉。然而,Stampar是在EternalRocks感染了自己的SMB蜜罐之后发现它的。
Stampar在自己的推文中将EternalRocks称为“DoomsDayWorm”,称其利用了如下NSA工具:
- EternalBlue — SMBv1利用工具
- EternalRomance — SMBv1利用工具
- EternalChampion — SMBv2利用工具
- EternalSynergy — SMBv3利用工具
- SMBTouch — SMB侦测工具
- ArchTouch — SMB侦测工具
- DoublePulsar — 后门木马
我们在之前的文章中提到,SMBTouch和ArchTouch是SMB侦测工具,用于扫描公共网络上的开放SMB端口。而EternalBlue、EternalChampion、EternalSynergy和EternalRomance是SMB利用工具,用于入侵有漏洞的Windows计算机。DoublePulsar用于在同一网络的有漏洞的机器之间传播蠕虫。
Stampar发现,EternalRocks将自己伪装成WannaCry,欺骗安全研究人员,但是它并不释放间谍软件,而是非法控制受影响计算机,以便进一步攻击。
EternalRocks 攻击原理
EternalRocks分两阶段安装。
第一阶段, EternalRocks在受影响计算机中下载Web浏览器Tor,之后将其连接到自己的C&C(命令与控制)服务器,这个服务器位于暗网(Dark Web)的Tor网络中。Stampar分析,
“第一阶段,恶意软件UpdateInstaller.exe(与第二阶段恶意软件配合进行远程利用)从网上下载必要的.NET组件(以备后续使用)TaskScheduler和SharpZLib,同时释放svchost.exe(样本)和taskhost.exe(样本)。”
第二阶段, 根据Stampar所说,第二阶段在24小时候发生,以避免沙箱技术检测到蠕虫感染。24小时后,EternalRocks响应C&C服务器,回复包含上述7种Windows SMB利用工具的文件夹。Stampar补充道。
“svchost.exe组件用于从archive.torproject.org下载、解包、运行Tor,同时与C&C(ubgdgno5eswkhmpy.onion)通信,请求更多指令(如安装新组件),”
所有这7种SMB利用工具会随之下载到受影响计算机中。接下来,EternalRocks便会扫描网络中的开放SMB端口,自行传播,感染其他的漏洞系统。
麻烦来了!
若您关注了近期关于WannaCry间谍软件和影子经纪人数据泄露的报道,您一定会知道这个黑客集团最近宣布将从下月开始陆续公布针对Web浏览器、智能手机、路由器和Windows操作系统(包括Windows 10)的新的零日漏洞和利用程序。
只要花钱订购其精品服务,便可获得这些零日漏洞和利用程序的专有访问权。不过,影子经纪人迄今仍未公布订购价格。黑客和国家资助的攻击者现正等着利用新的零日漏洞发动攻击,而在攻击发生前,防护无从可谈。
原文发布时间:2017年5月23日
本文由:HackerNews发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/eternalrocks-vs-wannacry