一波未平，一波又起：“永恒之石”恶意程序利用七种NSA“网络武器”

继WannaCry席卷全球后，恶意软件永恒之石（EternalRock）浮出水面，该恶意程序利用了黑客组织从NSA窃取的七种“网络武器”。

NSA“网络武器”被恶意者重新包装，以尽可能地传染给更多系统。基于“永恒之蓝”制作的WannaCry勒索蠕虫病毒在不到一周内感染超30万系统，而这次的永恒之石恶意软件总共包含七个NSA攻击工具。

永恒之石由克罗地亚政府机构CERT的IT安全顾问和专家Miroslav Stampar发现，最早在SMB蜜罐中感染此恶意程序。在对恶意软件进行分析后，Stampar发现它使用了由NSA开发的四个SMB漏洞（EternalBlue、EternalChampion、EternalRomance和EternalSynergy）来获取访问权限、使用两个NSA工具（SMBTouch和ArchiTouch）进行SMB侦察操作，以及使用DoubplePulsar来传播感染。

据Stampar表示，永恒之石以永恒之蓝开始运行一个多进程来感染系统，通过Tor联系命令和控制服务器（C&C）并安装额外组件。初始运行后，它会丢弃利用包shadowbrokers.zip并解压其中包含的目录payloads /、configs /以及bins /。然后在网上随机扫描445（SMB）端口，并通过有效载荷（在目录payloads /中）推送第一阶段的恶意软件。同时，它会运行第一阶段的Tor进程以获取C&C下一步指示。

新的恶意软件较之之前的更为复杂，漏洞一直在被利用却没有被发现，且作为一个没有实际形态的恶意软件，永恒之石可能会广泛传播并建立更具破坏性的攻击。对于正在修复SMB漏洞的企业来说，一旦设备感染了该恶意程序，后续补丁不会删除恶意软件。

目前，企业安全团队应利用网络流量分析来查找离开企业的历史Tor连接，对异常行为进行监测，并为所有关键数据建立一个行之有效的备份和恢复计划。企业应该立即禁用SMB v1，并使用打过补丁和受支持的操作系统。

眼下最受业界关心的当属黑客组织手里掌握的还未发布的“网络武器”，知道攻击者的底牌也能更好的“兵来将挡，水来土掩”。不过，无论之后的攻击是否基于NSA攻击工具，IT专业人士都要准备好主动出击，毕竟攻击来自哪儿不重要，防住了才重要。

本文转自d1net（转载）