EternalRocks惡意軟體用了7種NSA黑客工具 比Wannacry更厲害 潛伏期24小時

上周，我們警告說，多個黑客組織目前正利用遭洩露的nsa黑客工具，不過多數組織僅使用其中的兩種工具：eternalblue（永恒之藍）和doublepulsar（脈沖雙星）。

安全研究人員miroslav stampar（曾開發了著名的“sqlmap”工具，現為克羅地亞政府cert成員）近期發現了一款名為“eternalrocks”（永恒之石）的新的網絡蠕蟲，其危險程度超過wannacry，且沒有開關域名。

與wannacry不同，設計eternalrocks的人似乎有意讓它暗中運作，使它可以潛伏在受影響系統中而不被察覺。然而，stampar是在eternalrocks感染了自己的smb蜜罐之後發現它的。

stampar在自己的推文中将eternalrocks稱為“doomsdayworm”，稱其利用了如下nsa工具：

eternalblue — smbv1利用工具

eternalromance — smbv1利用工具

eternalchampion — smbv2利用工具

eternalsynergy — smbv3利用工具

smbtouch — smb偵測工具

archtouch — smb偵測工具

doublepulsar — 後門木馬

我們在之前的文章中提到，smbtouch和archtouch是smb偵測工具，用于掃描公共網絡上的開放smb端口。而eternalblue、eternalchampion、eternalsynergy和eternalromance是smb利用工具，用于入侵有漏洞的windows計算機。doublepulsar用于在同一網絡的有漏洞的機器之間傳播蠕蟲。

stampar發現，eternalrocks将自己僞裝成wannacry，欺騙安全研究人員，但是它并不釋放間諜軟體，而是非法控制受影響計算機，以便進一步攻擊。

eternalrocks分兩階段安裝。

第一階段， eternalrocks在受影響計算機中下載下傳web浏覽器tor，之後将其連接配接到自己的c&c（指令與控制）伺服器，這個伺服器位于暗網（dark web）的tor網絡中。stampar分析，

“第一階段，惡意軟體updateinstaller.exe（與第二階段惡意軟體配合進行遠端利用）從網上下載下傳必要的.net元件（以備後續使用）taskscheduler和sharpzlib，同時釋放svchost.exe（樣本）和taskhost.exe（樣本）。”

第二階段， 根據stampar所說，第二階段在24小時候發生，以避免沙箱技術檢測到蠕蟲感染。24小時後，eternalrocks響應c&c伺服器，回複包含上述7種windows smb利用工具的檔案夾。stampar補充道。

“svchost.exe元件用于從archive.torproject.org下載下傳、解包、運作tor，同時與c&c（ubgdgno5eswkhmpy.onion）通信，請求更多指令（如安裝新元件），”

所有這7種smb利用工具會随之下載下傳到受影響計算機中。接下來，eternalrocks便會掃描網絡中的開放smb端口，自行傳播，感染其他的漏洞系統。

若您關注了近期關于wannacry間諜軟體和影子經紀人資料洩露的報道，您一定會知道這個黑客集團最近宣布将從下月開始陸續公布針對web浏覽器、智能手機、路由器和windows作業系統（包括windows 10）的新的零日漏洞和利用程式。

隻要花錢訂購其精品服務，便可獲得這些零日漏洞和利用程式的專有通路權。不過，影子經紀人迄今仍未公布訂購價格。黑客和國家資助的攻擊者現正等着利用新的零日漏洞發動攻擊，而在攻擊發生前，防護無從可談。

原文釋出時間：2017年5月23日

本文由：hackernews釋出，版權歸屬于原作者

原文連結:http://toutiao.secjia.com/eternalrocks-vs-wannacry

本文來自雲栖社群合作夥伴安全加，了解相關資訊可以關注安全加網站