最新SMB僵尸网络利用了7个NSA工具,而WannaCry只用了两个……

本文涉及的产品
.cn 域名,1个 12个月
简介:

近日,研究人员检测出了一种新的蠕虫正在通过SMB传播,但与WannaCry勒索软件的蠕虫有所不同,这种蠕虫病毒使用了7种NSA工具,而WannaCry仅使用了两种,这是否意味着该蠕虫将为全球网络带来更为严重的冲击?

蠕虫

据悉,该蠕虫由安全研究人员Miroslav Stampar(克罗地亚政府CERT成员,以及用于检测和利用SQL注入漏洞的sqlmap工具的开发者)于上周三(5月17日)在自己搭建的SMB蜜罐中发现。

EternalRocks使用了7种NSA工具

该蠕虫被Stampar命名为“EternalRocks”(国内厂商将其译作“永恒之石”),研究人员在一个样本中发现了该蠕虫的可执行属性,它通过使用6个围绕SMB的NSA工具来感染网络上暴露SMB端口的计算机。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4个NSA工具主要用于攻击计算机设备上的SMB漏洞,而SMBTOUCH和ARCHITOUCH 是2个用于SMB漏洞扫描的NSA工具。

一旦该蠕虫获取了初步的立足点,那么它将使用另一个NSA工具——DOUBLEPULSAR来感染其他新的易受攻击的计算机。

EternalRocks-properties.png

影响超过24万受害者的WannaCry勒索软件就是使用SMB漏洞来感染计算机设备,并将病毒传播给新的受害者。

不过,与EternalRocks不同的是,WannaCry的SMB蠕虫只使用了ETERNALBLUE和DOUBLEPULSAR两种NSA工具,ETERNALBLUE用于初始攻击,DOUBLEPULSAR用于将病毒传播至新的设备上,而此次发现的EternalRocks如上所述却包含7种NSA工具。

EternalRocks更复杂,但危险更小

作为蠕虫,EternalRocks远不如WannaCry危险,因为它目前并没有传送任何恶意内容。然而,这并不意味着EternalRocks就很简单。据Stampar所言,实际情况恰恰相反。

对于初学者来说,EternalRocks比WannaCry的SMB蠕虫组件更为复杂。一旦成功感染了受害者,该蠕虫就会使用两阶段的安装过程,且延迟第二阶段。

在第一阶段中,EternalRocks在感染的主机上获得权限,随后下载Tor客户端,并将其指向位于暗网的一个. Onion域名C&C服务器上。

只有经过预定义的休眠期(目前为24小时),C&C服务器才会做出回应。这种长时间的延迟很有可能帮助蠕虫绕过沙盒安全检测和安全研究人员的分析,因为很少有人会花费整整一天的时间等待C&C服务器做出回应。

没有开关(kill switch)域名

此外,EternalRocks还使用了与WannaCry的SMB蠕虫相同的文件名称,这是另一个试图愚弄安全研究人员将其错误分类的尝试。

但是与WannaCry不同的是,EternalRocks并没有“开关域名(kill switch)”。在 WannaCry中,安全研究人员正是利用该“开关域名”功能,成功阻止了WannaCry的传播。

在初始休眠期到期后,C&C服务器便会做出响应,EternalRocks也开始进入第二阶段的安装过程,下载一个以shadowbrokers.zip命名的第二阶段恶意软件组件。

然后,EternalRocks便开始IP快速扫描过程,并尝试连接到任意IP地址中。

没有开关(kill switch)域名

EternalRocks可以随时实现武器化

由于EternalRocks利用了大量NSA工具,缺乏“开关域名”,且在两个安装过程间设置了休眠期,一旦EternalRocks开发者决定用勒索软件、银行木马、RAT或其他任何东西来将其武器化,那么EternalRocks可能会对那些将脆弱的SMB端口暴露在网络上的计算机构成严重威胁。

初步看来,该蠕虫似乎还在测试过程中,或是其开发者正在测试蠕虫未来可能实现的威胁。

然而,这并不意味着EternalRocks是无害的。攻击者可以通过C&C服务器对受此蠕虫感染的计算机设备发出指令进行控制,此外,蠕虫的开发者还可以利用此隐藏的通信通道将新的恶意软件发送到之前已被EternalRocks感染的计算机中。

此外,具有后门功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的计算机上运行。不幸的是,EternalRocks的开发者并没有采取任何措施来保护DOUBLEPULSAR,DOUBLEPULSAR目前在默认无保护的状态下运行,这意味着,其他攻击者也可以利用已经感染了EternalRocks的计算机设备中的后门,并通过该后门安装新的恶意软件到计算机中。

有兴趣可以前往github ,查看更多关于IOCs和蠕虫感染过程的信息。

请注意SMB端口

目前,有很多攻击者正在扫描运行旧版和未修补版本SMB服务的计算机。系统管理员们也已经注意到此事,并开始修复存在漏洞的计算机,或是禁用旧版的SMBv1 协议,从而逐渐减少被EternalRocks感染的机器数量。

此外,许多恶意软件(如Adylkuzz)也纷纷关闭SMB端口,防止被其他威胁进一步利用,此举也有助于减少EternalRocks和其他SMB狩猎(SMB-hunting)恶意软件的潜在目标数量。Forcepoint、 Cyphort和Secdo的报告详细介绍了目前针对具有SMB端口的计算机的其他威胁。

不管怎么说,系统管理员能够越快为他们的系统打上补丁越好。Stampar表示,

 “目前,该蠕虫正在与系统管理员之间进行一场时间竞赛,如果它在管理员打补丁之前就成功感染计算机,那么其开发者便可以随时将其武器化,组织进一步攻击行动,无碍于后期什么时候能打上补丁。”

作者:米雪儿
来源:51CTO

相关文章
|
1月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
70 32
|
1月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。ACL 可应用于路由器、防火墙等设备,通过设定规则控制访问。其类型包括标准、扩展、基于时间和基于用户的ACL,广泛用于企业网络和互联网安全中,以增强安全性、实现精细管理和灵活调整。然而,ACL 也存在管理复杂和可能影响性能的局限性。未来,ACL 将趋向智能化和自动化,与其他安全技术结合,提供更全面的安全保障。
92 4
|
28天前
|
5G 网络架构
怎么区分5G卡片开启的网络类型是NSA(非独立组网)还是SA(独立组网)
要确定5G卡片开启的网络类型是NSA(非独立组网)还是SA(独立组网),你通常需要进行以下操作:
|
1月前
|
存储 网络协议 定位技术
OSPF路由汇总:优化网络的强大工具
OSPF路由汇总:优化网络的强大工具
65 1
|
1月前
|
安全 Linux 网络安全
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息。本文分三部分介绍 nmap:基本原理、使用方法及技巧、实际应用及案例分析。通过学习 nmap,您可以更好地了解网络拓扑和安全状况,提升网络安全管理和渗透测试能力。
143 5
|
2月前
|
网络协议 安全 Linux
网络工具ping的使用方式
【10月更文挑战第19天】网络工具ping的使用方式
115 6
|
4月前
|
Web App开发 SQL 存储
警惕可能对Windows网络带来风险的工具
警惕可能对Windows网络带来风险的工具
警惕可能对Windows网络带来风险的工具
|
4月前
|
数据可视化 算法 C++
脑研究、脑网络分析、可视化的工具箱有哪些?
本文列举并简要介绍了用于脑研究、脑网络分析和可视化的多种工具箱,如Brain Connectivity Toolbox、bctpy、人类连接组项目等,为神经科学研究者提供了丰富的分析和可视化大脑网络的工具选择。
251 2
脑研究、脑网络分析、可视化的工具箱有哪些?
|
4月前
|
域名解析 运维 监控
网络故障排查的常用工具与方法:技术深度解析
【8月更文挑战第20天】网络故障排查是一项复杂而重要的工作,需要网络管理员具备扎实的网络知识、丰富的实践经验和灵活的问题解决能力。通过掌握常用工具和方法,遵循科学的排查流程,可以显著提高故障排查的效率和准确性。希望本文能为读者在网络故障排查方面提供有益的参考和启示。
|
4月前
|
传感器 监控 安全
网络监控工具的比较与选择:技术视角的深度剖析
【8月更文挑战第19天】网络监控工具的选择需要根据企业的实际需求、功能性能、成本和可维护性等多方面因素进行综合考虑。通过对SolarWinds、Zabbix、PRTG和Nagios等主流网络监控工具的比较,我们可以看到每种工具都有其独特的优势和适用场景。因此,在选择时,请务必根据您的具体情况进行权衡和选择,以确保您能够获得最佳的监控效果和投资回报。