本文講的是<b>一次用 7 個 NSA 武器的新 SMB 蠕蟲 - EternalRocks</b>,近日,研究人員檢測到一個新的蠕蟲正在通過SMB傳播,但與WannaCry ransomware的蠕蟲元件不同,這個蠕蟲病毒使用了七種NSA工具,而不是兩種。該蠕蟲在上周三被首先發現,其感染了克羅地亞政府CERT成員Miroslav Stampar的SMB蜜罐,以及用于檢測和利用SQL注入缺陷的sqlmap工具的建立者。
七種NSA工具的結合
該蠕蟲被命名為EternalRocks,它是基于一個示例中發現的蠕蟲可執行屬性,通過使用六個以SMB為中心的NSA工具來感染那些線上且暴露SMB端口的計算機。ETERNALBLUE,ETERNALCHAMPION,ETERNALROMANCE以及ETERNALSYNERGY,它們是用于破壞易受攻擊的計算機的SMB漏洞,而SMBTOUCH和ARCHITOUCH則是用于SMB偵察操作的兩個NSA工具。
一旦該蠕蟲獲得了這個初步的立足點,那麼它将使用另一個NSA工具DOUBLEPULSAR傳播到新的那些易受攻擊的機器上去。
事實上嗎,影響超過24萬受害者的WannaCry ransomware的爆發也是使用SMB蠕蟲來感染電腦并傳播給新的受害者。 與EternalRocks不同,WannaCry的SMB蠕蟲僅使用ETERNALBLUE進行初始的入侵,然後DOUBLEPULSAR将其傳播到新機器上去。
作為蠕蟲,EternalRocks遠比WannaCry的蠕蟲元件危險得多,因為它目前沒有提供任何惡意内容。然而,這并不意味着EternalRocks不那麼複雜。據Stampar所說,實際情況與我們所想象的是相反的。對于初學者來說,EternalRocks比WannaCry的SMB蠕蟲元件更為複雜難搞。使用者一旦遭受感染,蠕蟲就會開始兩個階段的安裝過程,并且第二階段會有意進行延遲。
在第一階段,EternalRocks在受感染的主機上站穩腳跟,下載下傳Tor用戶端,并将其置于.onion域上的C&C伺服器,Dark Web。
隻有經過預定義的時間段(目前為24小時),C&C伺服器才能做出回應。這個長時間的延遲的作用最有可能是繞過沙箱安全測試環境和安全研究人員分析蠕蟲,因為很少有人會等待一整天的C&C伺服器的響應。
此外,EternalRocks還使用與WannaCry的SMB蠕蟲相同的名稱的檔案,似乎是試圖嘗試愚弄安全研究人員将其進行錯誤的分類。
但是與WannaCry不同的是,EternalRocks并沒有設定生死開關,而這是研究人員用來阻止WannaCry爆發的關鍵點。
初始休眠期到期後,C&C伺服器作出響應,EternalRock進入安裝過程的第二階段,并以名為shadowbrokers.zip的存檔形式下載下傳第二階段惡意軟體元件。 該檔案的名稱是非常不言自明的,因為它包含由Shadow Brokers小組于2017年4月洩漏的NSA SMB中心漏洞。 然後,蠕蟲開始快速的IP掃描過程,并嘗試連接配接到随機IP位址。
由于其更廣泛的利用,并且沒有可以緩解的開關,而由于其初始休眠,如果其作者決定将蠕蟲與“贖金”,銀行木馬,RAT或其他任何東西進行結合,那麼EternalRocks可能會對那些SMB端口暴露的計算機構成嚴重威脅。
乍看起來,這一蠕蟲似乎是一個實驗,是惡意軟體作者進行測試和嘗試預測的威脅。 然而,這并不意味着EternalRocks是無害的。受此蠕蟲感染的計算機可通過C&C伺服器指令進行控制,蠕蟲的所有者可利用此隐藏的通信通道将新的惡意軟體發送到以前被EternalRocks感染的計算機。
此外,具有後門功能的NSA工具DOUBLEPULSAR仍然會在受EternalRock感染的PC上運作。不幸的是,蠕蟲的作者沒有采取任何措施來保護DOUBLEPULSAR,它會在在預設無保護狀态下運作,這意味着其他威脅行為者可以将其作為EternalRocks感染機器的後門,将自己的惡意軟體發送到這些PC。IOCs和更多關于蠕蟲感染過程的資訊可以在幾天前建立的GitHub repo Stampar中獲得。
目前,有多個角色在掃描運作舊版和未修補版本的SMB服務的計算機。系統管理者已經注意到并開始修補易受攻擊的PC,或者禁用舊的SMBv1協定,進而緩慢減少EternalRocks可能感染的易受攻擊的機器數量。
此外,惡意軟體(如Adylkuzz)也會關閉SMB端口,防止進一步利用其他威脅,也有助于減少EternalRocks和其他SMB惡意軟體的潛在目标數量。 Forcepoint,Cyphort和Secdo的報告詳細介紹了目前針對具有SMB端口的計算機的其他威脅。
盡管如此,系統管理者仍然需要更快更好地修補系統。 “這個蠕蟲正在與管理者競賽,在更新檔之前感染機器,”Stampar在一次私人談話中告訴我們。 “一旦被感染,他可以随時随地進行攻擊,無論後期是否打了更新檔。
原文釋出時間為:2017年5月23日
本文作者:Change
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/4937.html" target="_blank">原文連結</a>