最新病毒库日期:
  • EternalRocks(永恒之石)样本分析报告
2017-05-23 10:08 来源:未知
【文章摘要】5月23日,江民科技发现新型病毒“EternalRocks”,第一时间在官网发布了样本分析报告。
一、 样本介绍
样本名称EternalRocks(暂定)
样本类型:木马|后门
壳信息:
传播方式:在第一阶段暂未出现传播行为
影响系统:Windows XP, Windows Server 2003/x,Windows vista,Windows 7,Windows 8等没有安装MS-17-010补丁的Windows系统
样本介绍:
勒索病毒WannaCry的余波还未消散,新的病毒就已悄然而至。本次来袭的病毒是名叫为EternalRocks(永恒之石)的新病毒。江民反病毒实验室研究发现,该病毒也通过Windows SMB的共享协议传播,但是不像WannaCry蠕虫使用了2个NSA攻击工具,这个恶意软件使用了7个。以下是七个EternalRocks所利用的漏洞和工具,对应关系如下:
文件名 武器代号 用途 对应漏洞 端口
taskmgr.exe EternalRomance 漏洞利用 MS17-010 445
csrss.exe EternalBlue 漏洞利用 MS17-010 445
wmiprvse.exe EternalChampion 漏洞利用 MS17-010 445
lsass.exe EternalSynergy 漏洞利用 MS17-010 445
spooler.exe Architouch 漏洞探测器    
msdtc.exe Smbtouch 漏洞探测器    
winlogon.exe DoublePulsar 后门植入    
与WannaCry不同,现在永恒之石还处于安静的潜伏状态,感染一台电脑后,它会下载Tor(洋葱路由)的个人浏览器并向病毒隐藏的服务器发信号。随后就是24小时的潜伏期,在这之内病毒会按兵不动。但一天时间过去后,服务器会启动,病毒和开始下载并自我复制。
EternalRocks是一个网络蠕虫,于2017年上半年出现,其中最早已知样本fc75410aa8f76154f5ae8fe035b9a13c76f6e132077346101a0d673ed9f3a0dd可追溯到2017年05月03日。它通过漏洞:ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY、DOUBLEPULSAR、ARCHITOUCH、SMBTOUCH进行传播。
第一阶段的恶意软件UpdateInstaller.exe从微软官网下载必要的.NET组件的TaskScheduler和SharpZLib。释放svchost.exe和taskhost.exe部件。 svchost.exe用于下载,解包并运行的Tor从archive.torproject.org与ubgdgno5eswkhmpy.onion获取请求的进一步指令。
眼下,永恒之石虽然在不断传播,但还处在休眠状态。它的策略与WannaCry的手段如出一辙,先感染大量电脑再集中爆发。由于一直保持神秘,因此永恒之石到底感染了多少电脑现在还不清楚,同时它到底会成为什么样的攻击武器也是个谜。
二、 样本危害
第一阶段未见明显危害行为。
三、 文件系统变化
样本运行之后在“C:\Program Files”目录下创建“Microsoft Updates”目录,在该目录下会有下载和释放相关的文件。
四、 系统注册表变化
注册表未见明显变化,但是会读取注册表项:
HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v2.0.50727\install
的信息来判断当前安装的.Net版本信息。
五、 网络症状
1、样本会访问以下网址:
http://api.nuget.org/packages/taskscheduler.2.5.23.nupkg
http://api.nuget.org/packages/sharpziplib.0.86.0.nupkg
下载文件“taskscheduler.2.5.23.nupkg”和“sharpziplib.0.86.0.nupkg”到“C:\Program Files\Microsoft Updates”目录下并重名为“TaskScheduler.zip”和“SharpZLib.zip”。
六、 样本主要行为
七、 样本详细分析报告
样本主体行为
1. 样本在运行时会先创建互斥体"Global\20b70e57-1c2e-4de9-99e5-69f369006912",如果创建失败,则样本直接结束自身,行为到此结束;
 
判断互斥体是否存在
2. 样本会联网下载两个文件,如果下载失败,样本行为就此结束;
 
下载文件1
 
下载文件2
3. 解压两个文件,并从解压后的文件中拷贝出相应的.Net运行时dll文件;
 
拷贝Dll文件
 
 
拷贝Dll文件
 
 
拷贝出来的Dll文件
4. 释放并启动svchost程序
 
从资源中释放出svchost 程序
svchost程序释放出来之后,无参启动该程序。
在样本主体运行过程中,样本会将自身的一些操作记录写入到“C:\Program Files\Microsoft Updates\required.glo”中,样本为什么会有写日志的行为,现在还不得而知。释放的svchost.exe是一个.Net程序,所以前期的下载的两个压缩包实际上是为svchost的运行提供条件。
 
样本主体的日志记录
 
样本主体在释放svchost程序的时候,会释放出32位和64位两种版本的程序,但是在释放之前,并不会判断本机的系统环境,所以会出现释放出来的svchost版本和本机系统版本之间不兼容而导致svchost无法运行的情况。
 

svchost行为概览