在WannaCry瘋狂傳播的尾聲,上周三(5.17)安全研究員Miroslav Stampar(克羅地亞政府CERT成員、Sqlmap的創(chuàng)造者之一)在他搭建的SMB蜜罐中,發(fā)現(xiàn)新的蠕蟲正在通過SMB漏洞傳播。研究員Stampar的蜜罐中捕獲的不是WannaCry,而是一種利用7種NSA工具新的蠕蟲。
0x01、EternalRocks特點(diǎn)
1、EternalRocks利用7種NSA工具
研究員Stampar把這款新的蠕蟲命名為EternalRocks,他在蠕蟲程序中發(fā)現(xiàn)這個(gè)樣本,該樣本利用六種NSA工具來感染網(wǎng)絡(luò)上暴露SMB端口的計(jì)算機(jī),這些用來攻擊計(jì)算機(jī)的SMB漏洞的NSA工具是ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE,和 ETERNALSYNERGY。其中SMBTOUCH和ARCHITOUCH 是NSA工具中用來對(duì)SMB漏洞掃描的。一旦蠕蟲成功攻擊一臺(tái)計(jì)算機(jī),便可利用另外一個(gè)NSA工具(DOUBLEPULSAR)感染其他易受攻擊的計(jì)算機(jī)。
WannaCry瘋狂傳播目前已經(jīng)有240,000多臺(tái)計(jì)算機(jī)被勒索攻擊,WannaCry正是使用的SMB漏洞來攻擊和感染計(jì)算機(jī)。但是,WannaCry和EternalRocks之間存在不同之處,WannaCry只使用ETERNALBLUE和DOUBLEPULSAR這兩種NSA工具來感染計(jì)算機(jī),而EternalRocks利用了NSA工具種的7種。
2、EternalRocks更復(fù)雜,但危險(xiǎn)更小
研究員Stampar披露:作為一個(gè)蠕蟲,EternalRocks的危險(xiǎn)性遠(yuǎn)不如WannaCry,因?yàn)樗壳皼]有綁定任何惡意軟件。但是并不意味著EternalRocks就很簡(jiǎn)單,結(jié)果恰恰相反。EternalRocks比WannaCry的SMB蠕蟲組件更為復(fù)雜,因?yàn)镋ternalRocks對(duì)計(jì)算機(jī)的感染一共分為兩步,第一步執(zhí)行完后存在一個(gè)休眠期,休眠期結(jié)束后才會(huì)執(zhí)行第二步。
在第一步,EternalRocks感染計(jì)算機(jī)并獲得權(quán)限,然后下載Tor客戶端運(yùn)行,然后向暗網(wǎng)中一個(gè). Onion域名C&C服務(wù)器發(fā)出請(qǐng)求。
經(jīng)過休眠期(目前為24小時(shí)),C&C服務(wù)器才會(huì)做出響應(yīng)。休眠期的存在可能會(huì)繞過沙盒安全檢測(cè),或者是安全研究者對(duì)蠕蟲的分析,所以推遲24小時(shí)C&C服務(wù)器才做出響應(yīng)是非常有必要的。
3、無開關(guān)域名
另外,EternalRocks使用與WannaCry相同名稱的文件,目的是引導(dǎo)安全研究人員將其錯(cuò)誤分類,擾亂逆向分析方向。
與WannaCry不同的是,EternalRocks并沒有使用“開關(guān)域名”, “開關(guān)域名”在 WannaCry傳播中起著至關(guān)重要的作用,以至于安全研究員在WannaCry傳播的時(shí)候發(fā)現(xiàn)“開關(guān)域名”的作用后,把域名注冊(cè)后WannaCry暫時(shí)停止傳播。
經(jīng)過24小時(shí)的休眠期,C&C服務(wù)器開始響應(yīng)。EternalRocks開始進(jìn)入第二步,在第一步已感染主機(jī)上下載一個(gè)名為shadowbrokers.zip的壓縮包。shadowbrokers.zip文件目前不用過多介紹,安全從業(yè)者們也知道是做什么用的。接下來,EternalRocks便開始快速掃描IP并嘗試連接、感染。
0x02、利用EternalRocks進(jìn)行深入攻擊
由于EternalRocks利用的NSA工具多且無“開關(guān)域名”,同時(shí)存在一個(gè)休眠期。如果EternalRocks作者綁定一些勒索軟件、木馬、RAT或者其他的惡意軟件,那么EternalRocks可能會(huì)對(duì)公網(wǎng)上存在SMB漏洞的計(jì)算機(jī)構(gòu)成嚴(yán)重威脅。
目前來看,這個(gè)蠕蟲還在測(cè)試中,其作者正在測(cè)試蠕蟲未來可能具有威脅。并不意味著EternalRocks無殺傷力,EternalRocks作者可以通過C&C服務(wù)器對(duì)已感染的計(jì)算機(jī)發(fā)出指令,同時(shí)可以利用此隱藏的通信通道將新的惡意軟件發(fā)送到之前已被EternalRocks感染的計(jì)算機(jī)。
另外,NSA工具中具有后門功能的DOUBLEPULSAR同樣可以在已感染EternalRocks的計(jì)算機(jī)上運(yùn)行,但是,EternalRocks作者沒有對(duì)已感染EternalRocks的計(jì)算機(jī)上的DOUBLEPULSA使用采取任何加密保護(hù)措施,DOUBLEPULSAR目前都是默認(rèn)配置。其他攻擊者也可以使用已感染EternalRocks的計(jì)算機(jī)中的后門,可以通過這個(gè)后門安裝新的惡意軟件到計(jì)算機(jī)中。更多詳細(xì)介紹可以去Stampar研究員的github 上查看:https://github.com/stamparm/EternalRocks/
0x03、免費(fèi)的SMB
目前,黑客們已經(jīng)在掃描使用舊版本SMB協(xié)議的計(jì)算機(jī),或者沒有為系統(tǒng)打補(bǔ)丁的計(jì)算機(jī)。WannaCry勒索軟件爆發(fā)后,管理員們高度關(guān)注,對(duì)存在漏洞的機(jī)器打補(bǔ)丁或者禁用舊版本SMB協(xié)議,這樣一來能被EternalRocks感染的機(jī)器數(shù)量正在慢慢減少。
研究員Stampar說:管理員們?cè)娇鞛橄到y(tǒng)打上新補(bǔ)丁越好,但是如果EternalRocks在管理員打補(bǔ)丁之前就已經(jīng)感染,那么EternalRocks的控制者便可隨時(shí)發(fā)動(dòng)的進(jìn)一步攻擊。
| 
