一个名为“永恒之石”的最新恶意程序火爆网络圈!它不仅会攻击ShadowBrokers黑客集团从美国国安局(NSA)外流并被恶名昭彰的WannaCry(想哭)勒索蠕虫所利用的EternalBlue和DoublePulsar两个漏洞。厉害的是他还会攻击其他五个由同一黑客集团所外流的漏洞:EternalChampion、EternalRomance、EternalSynergy、ArchiTouch以及SMBTouch。这些都是针对Microsoft Server Message Block(SMB)网络资源(如档案及打印机)分享通讯协定的漏洞。
感染目标设备后,分两阶段执行安装程序
“永恒之石”恶意程序最早是由科罗埃西亚电脑紧急应变小组(CERT)安全研究人员Miroslav Stampar发现,该恶意程序一旦感染指定的计算机后,会分两个阶段执行安装程序。
- 第一阶段,恶意程序会下载TOR客户端来建立通信管道;
- 第二阶段,再透过该管道与其幕后操纵(C&C)服务器通信。
最可怕是,该C&C服务器并不会立即做出回应,而是等过了24小时之后才响应。这样的延迟设计,可能是为了躲避沙盒模拟分析技巧的测试以及安全人员的分析。
一旦C&C服务器开始响应,就会送出一个ZIP压缩档(shadowbrokers.zip),里面含有NSA相关漏洞的攻击套件。当“永恒之石”解开压缩档之后,就会开始扫描网络上是否有任何电脑开放了TCP 445连接埠,如果有就会试图加以感染。“永恒之石”所用到的某些漏洞在Microsoft三月份的MS17-010更新当中已经解决。
通过由蠕虫的方式进行散布
“永恒之石”通过由蠕虫的方式进行散布,因此万一黑客将该恶意程序变成一种武器,感染“永恒之石”的电脑就会遭遇意想不到的严重后果。
此外,WannaCry内置了一个「关闭开关」,当它能够联机至某个网域时就会自动关闭,其疫情才会获得控制。但“永恒之石”没有这样的开关,所以一旦爆发疫情,后果可能会一发不可收。
企业和用户即刻未雨绸缪,防患未然
如果WannaCry带来的疫情还不能让人们意识到系统更新修补的重要,那么这个可能更加危险的最新恶意程序,或许可以提高大家的危机意识。由于“永恒之石”利用的同样也是WannaCry所用的漏洞,因此企业或个人使用者都应趁“永恒之石”还未出现危险行为之前,快速更新修补自己的系统。对于像WannaCry及“永恒之石”这样的恶意程序,预防胜于治疗,即刻未雨绸缪,防患未然。
亚信安全产品防护措施
- 亚信安全服务器深度安全防护系统Deep Security和亚信安全Vulnerability Protection漏洞防护都能提供虚拟修补来防范企业端点因未修补的漏洞而遭到攻击。
- 亚信安全防毒墙网络版OfficeScan的漏洞防护功能,也能在修补程序部署之前防止端点装置遭到已知及未知的漏洞攻击。
- 亚信安全深度威胁发现平台Deep Discovery能够侦测、深入分析并主动响应漏洞攻击,利用特殊的引擎、客制化沙盒模拟分析以及密切的交叉关联分析,完整涵盖网络攻击的所有阶段,甚至不需更新引擎或病毒码就能侦测类似攻击。
作者:亚信安全
来源:51CTO
