近日,研究人員檢測出了一種新的蠕蟲正在通過SMB傳播,但與WannaCry勒索軟件的蠕蟲有所不同,這種蠕蟲病毒使用了7種NSA工具,而WannaCry僅使用了兩種,這是否意味著該蠕蟲將為全球網絡帶來更為嚴重的沖擊?
據悉,該蠕蟲由安全研究人員Miroslav Stampar(克羅地亞政府CERT成員,以及用于檢測和利用SQL注入漏洞的sqlmap工具的開發者)于上周三(5月17日)在自己搭建的SMB蜜罐中發現。
EternalRocks使用了7種NSA工具
該蠕蟲被Stampar命名為“EternalRocks”(國內廠商將其譯作“永恒之石”),研究人員在一個樣本中發現了該蠕蟲的可執行屬性,它通過使用6個圍繞SMB的NSA工具來感染網絡上暴露SMB端口的計算機。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4個NSA工具主要用于攻擊計算機設備上的SMB漏洞,而SMBTOUCH和ARCHITOUCH 是2個用于SMB漏洞掃描的NSA工具。
一旦該蠕蟲獲取了初步的立足點,那么它將使用另一個NSA工具——DOUBLEPULSAR來感染其他新的易受攻擊的計算機。
影響超過24萬受害者的WannaCry勒索軟件就是使用SMB漏洞來感染計算機設備,并將病毒傳播給新的受害者。
不過,與EternalRocks不同的是,WannaCry的SMB蠕蟲只使用了ETERNALBLUE和DOUBLEPULSAR兩種NSA工具,ETERNALBLUE用于初始攻擊,DOUBLEPULSAR用于將病毒傳播至新的設備上,而此次發現的EternalRocks如上所述卻包含7種NSA工具。
EternalRocks更復雜,但危險更小
作為蠕蟲,EternalRocks遠不如WannaCry危險,因為它目前并沒有傳送任何惡意內容。然而,這并不意味著EternalRocks就很簡單。據Stampar所言,實際情況恰恰相反。
對于初學者來說,EternalRocks比WannaCry的SMB蠕蟲組件更為復雜。一旦成功感染了受害者,該蠕蟲就會使用兩階段的安裝過程,且延遲第二階段。
在第一階段中,EternalRocks在感染的主機上獲得權限,隨后下載Tor客戶端,并將其指向位于暗網的一個. Onion域名C&C服務器上。
只有經過預定義的休眠期(目前為24小時),C&C服務器才會做出回應。這種長時間的延遲很有可能幫助蠕蟲繞過沙盒安全檢測和安全研究人員的分析,因為很少有人會花費整整一天的時間等待C&C服務器做出回應。
沒有開關(kill switch)域名
此外,EternalRocks還使用了與WannaCry的SMB蠕蟲相同的文件名稱,這是另一個試圖愚弄安全研究人員將其錯誤分類的嘗試。
但是與WannaCry不同的是,EternalRocks并沒有“開關域名(kill switch)”。在 WannaCry中,安全研究人員正是利用該“開關域名”功能,成功阻止了WannaCry的傳播。
在初始休眠期到期后,C&C服務器便會做出響應,EternalRocks也開始進入第二階段的安裝過程,下載一個以shadowbrokers.zip命名的第二階段惡意軟件組件。
然后,EternalRocks便開始IP快速掃描過程,并嘗試連接到任意IP地址中。
EternalRocks可以隨時實現武器化
由于EternalRocks利用了大量NSA工具,缺乏“開關域名”,且在兩個安裝過程間設置了休眠期,一旦EternalRocks開發者決定用勒索軟件、銀行木馬、RAT或其他任何東西來將其武器化,那么EternalRocks可能會對那些將脆弱的SMB端口暴露在網絡上的計算機構成嚴重威脅。
初步看來,該蠕蟲似乎還在測試過程中,或是其開發者正在測試蠕蟲未來可能實現的威脅。
然而,這并不意味著EternalRocks是無害的。攻擊者可以通過C&C服務器對受此蠕蟲感染的計算機設備發出指令進行控制,此外,蠕蟲的開發者還可以利用此隱藏的通信通道將新的惡意軟件發送到之前已被EternalRocks感染的計算機中。
此外,具有后門功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的計算機上運行。不幸的是,EternalRocks的開發者并沒有采取任何措施來保護DOUBLEPULSAR,DOUBLEPULSAR目前在默認無保護的狀態下運行,這意味著,其他攻擊者也可以利用已經感染了EternalRocks的計算機設備中的后門,并通過該后門安裝新的惡意軟件到計算機中。
有興趣可以前往github ,查看更多關于IOCs和蠕蟲感染過程的信息。
請注意SMB端口
目前,有很多攻擊者正在掃描運行舊版和未修補版本SMB服務的計算機。系統管理員們也已經注意到此事,并開始修復存在漏洞的計算機,或是禁用舊版的SMBv1 協議,從而逐漸減少被EternalRocks感染的機器數量。
此外,許多惡意軟件(如Adylkuzz)也紛紛關閉SMB端口,防止被其他威脅進一步利用,此舉也有助于減少EternalRocks和其他SMB狩獵(SMB-hunting)惡意軟件的潛在目標數量。Forcepoint、 Cyphort和Secdo的報告詳細介紹了目前針對具有SMB端口的計算機的其他威脅。
不管怎么說,系統管理員能夠越快為他們的系統打上補丁越好。Stampar表示,
“目前,該蠕蟲正在與系統管理員之間進行一場時間競賽,如果它在管理員打補丁之前就成功感染計算機,那么其開發者便可以隨時將其武器化,組織進一步攻擊行動,無礙于后期什么時候能打上補丁。”
| 
