继WannaCry席卷全球后,恶意软件永恒之石(EternalRock)浮出水面,该恶意程序利用了黑客组织从NSA窃取的七种“网络武器”。
NSA“网络武器”被恶意者重新包装,以尽可能地传染给更多系统。基于“永恒之蓝”制作的WannaCry勒索蠕虫病毒在不到一周内感染超30万系统,而这次的永恒之石恶意软件总共包含七个NSA攻击工具。
永恒之石由克罗地亚政府机构CERT的IT安全顾问和专家Miroslav Stampar发现,最早在SMB蜜罐中感染此恶意程序。在对恶意软件进行分析后,Stampar发现它使用了由NSA开发的四个SMB漏洞(EternalBlue、EternalChampion、EternalRomance和EternalSynergy)来获取访问权限、使用两个NSA工具(SMBTouch和ArchiTouch)进行SMB侦察操作,以及使用DoubplePulsar来传播感染。
据Stampar表示,永恒之石以永恒之蓝开始运行一个多进程来感染系统,通过Tor联系命令和控制服务器(C&C)并安装额外组件。初始运行后,它会丢弃利用包shadowbrokers.zip并解压其中包含的目录payloads /、configs /以及bins /。然后在网上随机扫描445(SMB)端口,并通过有效载荷(在目录payloads /中)推送第一阶段的恶意软件。同时,它会运行第一阶段的Tor进程以获取C&C下一步指示。
新的恶意软件较之之前的更为复杂,漏洞一直在被利用却没有被发现,且作为一个没有实际形态的恶意软件,永恒之石可能会广泛传播并建立更具破坏性的攻击。对于正在修复SMB漏洞的企业来说,一旦设备感染了该恶意程序,后续补丁不会删除恶意软件。
目前,企业安全团队应利用网络流量分析来查找离开企业的历史Tor连接,对异常行为进行监测,并为所有关键数据建立一个行之有效的备份和恢复计划。企业应该立即禁用SMB v1,并使用打过补丁和受支持的操作系统。
眼下最受业界关心的当属黑客组织手里掌握的还未发布的“网络武器”,知道攻击者的底牌也能更好的“兵来将挡,水来土掩”。不过,无论之后的攻击是否基于NSA攻击工具,IT专业人士都要准备好主动出击,毕竟攻击来自哪儿不重要,防住了才重要。
本文转自d1net(转载)