最新病毒库日期:
  • 新病毒王“永恒之石”来袭 一次用了7个NSA漏洞
2017-05-23 10:02 来源:未知
【文章摘要】前期勒索病毒WannaCry的余波还未消散,江民科技近期高度关注勒索病毒的发展态势,整理研究国内外相关报告信息,发现并研究了EternalRocks病毒,该病毒中文译名永恒之石。 永恒之石病
 前期勒索病毒WannaCry的余波还未消散,江民科技近期高度关注勒索病毒的发展态势,整理研究国内外相关报告信息,发现并研究了EternalRocks病毒,该病毒中文译名“永恒之石”。
  永恒之石病毒是什么 永恒之石和勒索病毒有什么区别
  安全专家Miroslav Stampar第一时间发现永恒之石的出现,该病毒也通过Windows SMB的共享协议传播,但是不像WannaCry蠕虫使用了2个NSA攻击工具,这个恶意软件使用了7个。 “永恒之石”没有安全验证开关,相比WannaCry更危险。以下是七个利用的漏洞和工具:
  · EternalBlue — SMBv1 exploit tool
  ·EternalRomance — SMBv1 exploit tool
  ·EternalChampion — SMBv2 exploit tool
  ·EternalSynergy — SMBv3 exploit tool
  ·SMBTouch — SMB reconnaissance tool
  ·ArchTouch — SMB reconnaissance tool
  ·DoublePulsar — Backdoor Trojan
  与WannaCry不同,现在永恒之石还处于安静的潜伏状态,感染一台电脑后,它会下载Tor(洋葱路由)的个人浏览器并向病毒隐藏的服务器发信号。随后就是24小时的潜伏期,在此期间病毒会按兵不动。但一天时间过去后,服务器会启动,病毒开始下载并自我复制。EternalRocks会伪装成WannaCry来欺骗安全研究人员,不仅是植入蠕虫,它主要目的是获得被感染计算机的控制权来方便将来发起的网络攻击。EternalRocks的功能是秘密执行,隐蔽性极高,感染系统后很难被检测到,这就意味着安全专家的研究进度会被拖慢一天。
  EternalRocks介绍:
  江民科技整理研究国内外相关报告信息,以下是安全专家Miroslav Stampar对EternalRocks的介绍:
  MiroslavStampar在他的被感染的SMB蜜罐中发现了EternalRocks。EternalRocks使用的NSA漏洞,Stampar在推特上称为“DoomsDayWorm”,具体如下:
  · EternalBlue — SMBv1 exploit tool
  · EternalRomance — SMBv1 exploit tool
  · EternalChampion — SMBv2 exploit tool
  · EternalSynergy — SMBv3 exploit tool
  · SMBTouch — SMB reconnaissance tool
  · ArchTouch — SMB reconnaissance tool
  · DoublePulsar — Backdoor Trojan
  SMBTouch和ArchTouch是SMB侦察工具,用来扫描公共互联网上的开放SMB端口;EternalBlue、EternalChampion、EternalSynergy和EternalRomance则是利用SMB漏洞进行攻击,而DoublePulsar是被用于在同一个网络从一台被感染的计算机传播蠕虫到其他的易受攻击的机器。
  Miroslav Stampar发现EternalRocks伪装成WannaCry来欺骗安全研究人员,不仅是植入蠕虫,它主要目的是获得被感染计算机的控制权来方便将来发起的网络攻击。
  EternalRocks的工作机制:
  结合安全专家Miroslav Stampar的文章,江民科技对EternalRocks的行为和工作机制进行了分析:
  EternalRocks安装分以下两个阶段过程:
  第一步,EternalRocks在感染的计算机上下载Tor web浏览器,用来链接命令和控制服务器,该服务器部署在Tor网络的Dark Web上。
  第二步,恶意软件:UpdateInstaller.exe从互联网下载必须的 .net组件TaskScheduler和SharpZLib,同时释放 svchost.exe和taskhost.exe.
  据Miroslav Stampar宣称,延迟24小时避开沙箱检测,确保蠕虫不被检测到。24小时之后,EternalRocks使用上述的7种Windows SMB漏洞工具响应C&C服务。
  Svchost.exe用来下载,拆包和运行Tor,以及与C&C服务器(ubgdgno5eswkhmpy.onion)保存通讯,请求进一步指示(例如安装新组件)。 所有的7个SMB漏洞工具被下载到被感染的机器上,EternalRocks下一步就会扫描互联网上的开放SMB端口,进而传播到其他易受攻击的机器。
  如何防御?
  眼下,永恒之石虽然在不断传播,但还处在休眠状态。这款病毒可能随时会武器化,它的策略与WannaCry的手段如出一辙,先感染大量电脑再集中爆发。由于一直保持神秘,因此永恒之石到底感染了多少电脑现在还不清楚,同时它到底会成为什么样的攻击武器也是个谜。
  江民安全专家建议,由于永恒之石的下一步动作暂时无法确定,用户当务之急就是:
  1、 及时更新官方的系统补丁,关闭之前已经被公布的端口。
  2、 江民杀毒软件可对永恒之石样本进行查杀,请及时更新江民杀毒软件病毒库,最大程度减小被病毒入侵的风险。