EternalRocks恶意软件用了7种NSA黑客工具 比Wannacry更厉害 潜伏期24小时

简介:

一安全研究人员发现了一款新的恶意软件。这款恶意软件与 WannaCry勒索软件 一样,通过利用Windows SMB文件共享协议中的漏洞自行传播,但是与后者不同的是,它使用了近期泄露的美国国家安全局(NSA)的7种黑客工具,而后者仅使用了2种!

update:应对方法看这里 【下载】永恒之石EternalRocks蠕虫病毒影响全球24万台主机 绿盟科技发布应急处置方案

EternalRocks居然用了7种NSA黑客工具

上周,我们警告说,多个黑客组织目前正利用遭泄露的NSA黑客工具,不过多数组织仅使用其中的两种工具:EternalBlue(永恒之蓝)和DoublePulsar(脉冲双星)。

安全研究人员Miroslav Stampar(曾开发了著名的“sqlmap”工具,现为克罗地亚政府CERT成员)近期发现了一款名为“EternalRocks”(永恒之石)的新的网络蠕虫,其危险程度超过WannaCry,且没有开关域名。

与WannaCry不同,设计EternalRocks的人似乎有意让它暗中运行,使它可以潜伏在受影响系统中而不被察觉。然而,Stampar是在EternalRocks感染了自己的SMB蜜罐之后发现它的。

Stampar在自己的推文中将EternalRocks称为“DoomsDayWorm”,称其利用了如下NSA工具:

  1. EternalBlue — SMBv1利用工具
  2. EternalRomance — SMBv1利用工具
  3. EternalChampion — SMBv2利用工具
  4. EternalSynergy — SMBv3利用工具
  5. SMBTouch — SMB侦测工具
  6. ArchTouch — SMB侦测工具
  7. DoublePulsar — 后门木马

我们在之前的文章中提到,SMBTouch和ArchTouch是SMB侦测工具,用于扫描公共网络上的开放SMB端口。而EternalBlue、EternalChampion、EternalSynergy和EternalRomance是SMB利用工具,用于入侵有漏洞的Windows计算机。DoublePulsar用于在同一网络的有漏洞的机器之间传播蠕虫。

Stampar发现,EternalRocks将自己伪装成WannaCry,欺骗安全研究人员,但是它并不释放间谍软件,而是非法控制受影响计算机,以便进一步攻击。

EternalRocks 攻击原理

EternalRocks分两阶段安装。

第一阶段, EternalRocks在受影响计算机中下载Web浏览器Tor,之后将其连接到自己的C&C(命令与控制)服务器,这个服务器位于暗网(Dark Web)的Tor网络中。Stampar分析,

“第一阶段,恶意软件UpdateInstaller.exe(与第二阶段恶意软件配合进行远程利用)从网上下载必要的.NET组件(以备后续使用)TaskScheduler和SharpZLib,同时释放svchost.exe(样本)和taskhost.exe(样本)。”

第二阶段, 根据Stampar所说,第二阶段在24小时候发生,以避免沙箱技术检测到蠕虫感染。24小时后,EternalRocks响应C&C服务器,回复包含上述7种Windows SMB利用工具的文件夹。Stampar补充道。

“svchost.exe组件用于从archive.torproject.org下载、解包、运行Tor,同时与C&C(ubgdgno5eswkhmpy.onion)通信,请求更多指令(如安装新组件),”

所有这7种SMB利用工具会随之下载到受影响计算机中。接下来,EternalRocks便会扫描网络中的开放SMB端口,自行传播,感染其他的漏洞系统。

麻烦来了!

若您关注了近期关于WannaCry间谍软件和影子经纪人数据泄露的报道,您一定会知道这个黑客集团最近宣布将从下月开始陆续公布针对Web浏览器、智能手机、路由器和Windows操作系统(包括Windows 10)的新的零日漏洞和利用程序。

只要花钱订购其精品服务,便可获得这些零日漏洞和利用程序的专有访问权。不过,影子经纪人迄今仍未公布订购价格。黑客和国家资助的攻击者现正等着利用新的零日漏洞发动攻击,而在攻击发生前,防护无从可谈。



原文发布时间:2017年5月23日

本文由:HackerNews发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/eternalrocks-vs-wannacry

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
安全 数据库 数据安全/隐私保护
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
134 0
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
|
云安全 监控 安全
瑞星云安全截获新感染病毒 6月感染网民263万
近日,瑞星“云安全”系统截获了多个新型感染病毒,这些病毒具有多个特点:病毒感染能力强、可以释放多个木马程序、能够逃脱大部分杀毒软件的查杀与监控、变异速度快。当用户从网上下载一些流行MP3、exe、flash等文件时,其中很有可能带有此类病毒,用户运行后即可感染电脑中的其他文件。
1070 0
|
Web App开发 安全
想哭(WannaCry)勒索病毒最新情报汇总:首个工作日,多少电脑中招?
本文讲的是想哭(WannaCry)勒索病毒最新情报汇总:首个工作日,多少电脑中招?,今天是想哭(Wannacry)勒索病毒遇到的第一个工作日,也是全球各大安全公司预测的“二次爆发日”。
1482 0
|
安全 数据安全/隐私保护 Windows
趋势科技技术分析:详解无文件勒索病毒Sorebrect
本文讲的是趋势科技技术分析:详解无文件勒索病毒Sorebrect,Fileless威胁和ransomware并不是什么新的东西,但是包含其特征组合的恶意软件却可能成为一种新的危险。例如,我们最近发现的Fileless代码注入ransomware – SOREBRECT。
1760 0