最新病毒库日期:
  • EternalRocks(永恒之石)样本分析报告
2017-05-23 10:07 来源:未知
【文章摘要】第1章 EternalRocks病毒预警 WannaCry勒索病毒余波未消,新的病毒悄然来袭。5月23日,江民科技反病毒实验室紧急发布了EternalRocks(永恒之石)蠕虫病毒预警通知。新的病毒EternalRocks病毒除

第1章  EternalRocks病毒预警

“WannaCry”勒索病毒余波未消,新的病毒悄然来袭。5月23日,江民科技反病毒实验室紧急发布了EternalRocks(永恒之石)蠕虫病毒预警通知。新的病毒“EternalRocks”病毒除了会利用已知的“WannaCry”漏洞发动攻击外,也会尝试NSA泄露的其他漏洞进行攻击,目前已发现的共使用了七种NSA工具,隐蔽性极强,具有24小时的潜伏期,感染后很难被检测到,用户须提高警惕。
 “WannaCry”勒索病毒肆虐全球,目前虽已暂时得到控制,但其对各国多个行业所造成了巨大的影响与损失让人记忆深刻,面对隐蔽性更强、漏洞工具更多的“永恒之石”,我们必须及早做好防御及应对工作,降低病毒入侵风险。江民反病毒实验室将持续关注该事件进展,并第一时间为广大用户和网友更新该病毒的最新信息。

第2章  EternalRocks介绍

2.1事件描述

北京时间5月23日,江民科技在持续关注追踪WannaCry事件后续发展之时,发现了一种潜伏性更强的新型病毒EternalRocks(永恒之石)。“EternalRocks”除了会利用“WannaCry”漏洞发动攻击外,也会尝试NSA泄露的其他漏洞进行攻击,目前已发现的共使用了七种NSA工具,隐蔽性极强,感染后很难被检测到。
目前EternalRocks被发现的最早样本的日期为2017年5月3日。江民反病毒实验室研究发现,该病毒也通过Windows SMB的共享协议传播,但是不像WannaCry蠕虫使用了2个NSA攻击工具,这个恶意软件使用了7个,具体对应关系如下:
 
相对于WannaCry利用两个漏洞,这个病毒变本加厉,居然一次用了7个来自NSA的漏洞。与WannaCry不同的是,现在永恒之石还处于安静的潜伏状态,感染一台电脑后,它会下载Tor(洋葱路由)的个人浏览器并向病毒隐藏的服务器发信号。随后就是24小时的潜伏期,在这之内病毒会按兵不动。但一天时间过去后,服务器会启动,病毒和开始下载并自我复制,而且EternalRocks的功能是秘密执行,隐蔽性极高,感染系统后很难被检测到,这就意味着安全专家的研究进度会被拖慢一天。

2.2感染情况

根据江民反病毒实验室反馈数据,目前EternalRocks在国内有少量感染,但还处于潜伏阶段,并未出现大规模爆发的情况。

2.3危害程度

江民反病毒实验室将EternalRocks的风险级别定义为红色预警状态。
虽然目前此病毒和WannaCry相比,并没有造成太大危害,但EternalRocks利用了更多的NSA武器,具有更强的隐蔽性,而且最重要的是EternalRocks没有设置安全验证开关,而由于其初始阶段的潜伏期,如果其作者决定将蠕虫与“赎金”,银行木马,RAT或其他任何东西进行结合,那么EternalRocks可能会对那些SMB端口暴露的计算机构成严重威胁。

2.4影响系统

目前发现受到EternalRock影响的系统包括:Windows XP, Windows Server 2003/x,Windows vista,Windows 7,Windows 8等没有安装MS-17-010补丁的Windows系统

第3章 病毒样本分析

3.1行为分析

EternalRocks是一个网络蠕虫,于2017年上半年出现,其中最早已知样本fc75410aa8f76154f5ae8fe035b9a13c76f6e132077346101a0d673ed9f3a0dd可追溯到2017年05月03日。它通过使用6个以SMB为中心的NSA工具来感染那些在线且暴露SMB端口的计算机。ETERNALBLUE,ETERNALCHAMPION,ETERNALROMANCE以及ETERNALSYNERGY,它们是用于破坏易受攻击的计算机的SMB漏洞,而SMBTOUCH和ARCHITOUCH则是用于SMB侦察操作的两个NSA工具。
第一阶段的恶意软件UpdateInstaller.exe从微软官网下载必要的.NET组件的TaskScheduler和SharpZLib。释放svchost.exe和taskhost.exe部件。 svchost.exe用于下载,解包并运行的Tor从archive.torproject.org与ubgdgno5eswkhmpy.onion获取请求的进一步指令。
在第一阶段,EternalRocks在受感染的主机上站稳脚跟,下载Tor客户端,并将其置于.onion域上的C&C服务器,Dark Web。
只有经过预定义的时间段(目前为24小时),C&C服务器才能做出回应。这个长时间的延迟的作用最有可能是绕过沙箱安全测试环境和安全研究人员分析蠕虫。此外,EternalRocks还使用与WannaCry的SMB蠕虫相同的名称的文件,试图伪装成WannaCry误导安全研究人员。

3.2病毒危害

眼下,永恒之石虽然在持续传播中,但还处在休眠状态。它的策略与WannaCry的手段如出一辙,先感染大量电脑再集中爆发,因此暂未发现有具体的危害。

3.3文件系统变化:

样本运行之后在“C:\Program Files”目录下创建“Microsoft Updates”目录,在该目录下会有下载和释放相关的文件。
11-新建目录下释放的文件

3.4注册表变化:

    注册表未见明显变化,但是会读取注册表项:
HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v2.0.50727\install
的信息来判断当前安装的.Net版本信息。

3.5网络症状:

    1、样本会访问以下网址:
http://api.nuget.org/packages/taskscheduler.2.5.23.nupkg
http://api.nuget.org/packages/sharpziplib.0.86.0.nupkg
下载文件“taskscheduler.2.5.23.nupkg”和“sharpziplib.0.86.0.nupkg”到“C:\Program Files\Microsoft Updates”目录下并重名为“TaskScheduler.zip”和“SharpZLib.zip”。

3.6样本主体行为:

样本主体行为

3.7样本详细分析

1.   样本在运行时会先创建互斥体"Global\20b70e57-1c2e-4de9-99e5-69f369006912",如果创建失败,则样本直接结束自身,行为到此结束;
001
判断互斥体是否存在
2.   样本会联网下载两个文件,如果下载失败,样本行为就此结束;
04-下载文件
下载文件1
05-下载文件
下载文件2
3.   解压两个文件,并从解压后的文件中拷贝出相应的.Net运行时dll文件;
拷贝Dll
拷贝Dll文件
 
拷贝Dll_2
拷贝Dll文件
拷贝出来的2个Dll文件
拷贝出来的Dll文件
4.   释放并启动svchost程序
10-释放文件
从资源中释放出svchost 程序
svchost程序释放出来之后,无参启动该程序。
在样本主体运行过程中,样本会将自身的一些操作记录写入到“C:\Program Files\Microsoft Updates\required.glo”中,样本为什么会有写日志的行为,现在还不得而知。释放的svchost.exe是一个.Net程序,所以前期的下载的两个压缩包实际上是为svchost的运行提供条件。
样本主体的日志文件
样本主体的日志记录
样本主体在释放svchost程序的时候,会释放出32位和64位两种版本的程序,但是在释放之前,并不会判断本机的系统环境,所以会出现释放出来的svchost版本和本机系统版本之间不兼容而导致svchost无法运行的情况。
svchost行为概览
 
 
 
 
svchost 运行后
从资源中释放taskhost 和TorUnzip
下载访问暗网用的tor组件
之前释放的taskhost.exe被删除,下载的最新的taskhost.exe

从暗网下载第二阶段的样本 ,命名为 taskhost.exe
设置计划任务ServiceHost 、TaskHost、 TorHost
添加防火墙放行
样本运行第二阶段:
由于taskhost.exe文件说明为EternalRocks,因此病毒得名“永恒之石”
taskhost.exe资源中附带了需要用到的攻击工具包
工具里面就是NSA攻击工具
taskhost.exe就会使用这些工具,扫描互联网中存在漏洞的机器,之后使用漏洞利用工具攻击存在漏洞的机器,再利用后门植入工具。

第4章  防御措施

1、更新系统补丁:EternalRocks传播所利用漏洞的对应补丁均包含在微软MS17-010补丁包中,用户通过安装MS17-010补丁即可免受影响,补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010
2、关闭445端口:如非必要,建议关闭终端系统的Server服务或者阻断入站的445端口,减少系统被攻击的可能。
3、安装江民防病毒软件并更新到最新病毒库
QQ图片20170523172707
目前,江民反病毒实验室已经截获到WannaCry病毒多个变种及永恒之石的病毒样本,江民杀毒软件均可进行有效查杀及防御。