本文讲的是一次用 7 个 NSA 武器的新 SMB 蠕虫 - EternalRocks,近日,研究人员检测到一个新的蠕虫正在通过SMB传播,但与WannaCry ransomware的蠕虫组件不同,这个蠕虫病毒使用了七种NSA工具,而不是两种。该蠕虫在上周三被首先发现,其感染了克罗地亚政府CERT成员Miroslav Stampar的SMB蜜罐,以及用于检测和利用SQL注入缺陷的sqlmap工具的创建者。
七种NSA工具的结合
该蠕虫被命名为EternalRocks,它是基于一个示例中发现的蠕虫可执行属性,通过使用六个以SMB为中心的NSA工具来感染那些在线且暴露SMB端口的计算机。ETERNALBLUE,ETERNALCHAMPION,ETERNALROMANCE以及ETERNALSYNERGY,它们是用于破坏易受攻击的计算机的SMB漏洞,而SMBTOUCH和ARCHITOUCH则是用于SMB侦察操作的两个NSA工具。
一旦该蠕虫获得了这个初步的立足点,那么它将使用另一个NSA工具DOUBLEPULSAR传播到新的那些易受攻击的机器上去。
事实上吗,影响超过24万受害者的WannaCry ransomware的爆发也是使用SMB蠕虫来感染电脑并传播给新的受害者。 与EternalRocks不同,WannaCry的SMB蠕虫仅使用ETERNALBLUE进行初始的入侵,然后DOUBLEPULSAR将其传播到新机器上去。
作为蠕虫,EternalRocks远比WannaCry的蠕虫组件危险得多,因为它目前没有提供任何恶意内容。然而,这并不意味着EternalRocks不那么复杂。据Stampar所说,实际情况与我们所想象的是相反的。对于初学者来说,EternalRocks比WannaCry的SMB蠕虫组件更为复杂难搞。用户一旦遭受感染,蠕虫就会开始两个阶段的安装过程,并且第二阶段会有意进行延迟。
在第一阶段,EternalRocks在受感染的主机上站稳脚跟,下载Tor客户端,并将其置于.onion域上的C&C服务器,Dark Web。
只有经过预定义的时间段(目前为24小时),C&C服务器才能做出回应。这个长时间的延迟的作用最有可能是绕过沙箱安全测试环境和安全研究人员分析蠕虫,因为很少有人会等待一整天的C&C服务器的响应。
此外,EternalRocks还使用与WannaCry的SMB蠕虫相同的名称的文件,似乎是试图尝试愚弄安全研究人员将其进行错误的分类。
但是与WannaCry不同的是,EternalRocks并没有设置生死开关,而这是研究人员用来阻止WannaCry爆发的关键点。
初始休眠期到期后,C&C服务器作出响应,EternalRock进入安装过程的第二阶段,并以名为shadowbrokers.zip的存档形式下载第二阶段恶意软件组件。 该文件的名称是非常不言自明的,因为它包含由Shadow Brokers小组于2017年4月泄漏的NSA SMB中心漏洞。 然后,蠕虫开始快速的IP扫描过程,并尝试连接到随机IP地址。
由于其更广泛的利用,并且没有可以缓解的开关,而由于其初始休眠,如果其作者决定将蠕虫与“赎金”,银行木马,RAT或其他任何东西进行结合,那么EternalRocks可能会对那些SMB端口暴露的计算机构成严重威胁。
乍看起来,这一蠕虫似乎是一个实验,是恶意软件作者进行测试和尝试预测的威胁。 然而,这并不意味着EternalRocks是无害的。受此蠕虫感染的计算机可通过C&C服务器命令进行控制,蠕虫的所有者可利用此隐藏的通信通道将新的恶意软件发送到以前被EternalRocks感染的计算机。
此外,具有后门功能的NSA工具DOUBLEPULSAR仍然会在受EternalRock感染的PC上运行。不幸的是,蠕虫的作者没有采取任何措施来保护DOUBLEPULSAR,它会在在默认无保护状态下运行,这意味着其他威胁行为者可以将其作为EternalRocks感染机器的后门,将自己的恶意软件发送到这些PC。IOCs和更多关于蠕虫感染过程的信息可以在几天前建立的GitHub repo Stampar中获得。
目前,有多个角色在扫描运行旧版和未修补版本的SMB服务的计算机。系统管理员已经注意到并开始修补易受攻击的PC,或者禁用旧的SMBv1协议,从而缓慢减少EternalRocks可能感染的易受攻击的机器数量。
此外,恶意软件(如Adylkuzz)也会关闭SMB端口,防止进一步利用其他威胁,也有助于减少EternalRocks和其他SMB恶意软件的潜在目标数量。 Forcepoint,Cyphort和Secdo的报告详细介绍了目前针对具有SMB端口的计算机的其他威胁。
尽管如此,系统管理员仍然需要更快更好地修补系统。 “这个蠕虫正在与管理员竞赛,在补丁之前感染机器,”Stampar在一次私人谈话中告诉我们。 “一旦被感染,他可以随时随地进行攻击,无论后期是否打了补丁。
原文发布时间为:2017年5月23日
本文作者:Change
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。