如果NSA被泄黑客工具有“战神金刚”这样的存在,那必须得是 “永恒之石(EternalRocks)” 。永恒之蓝才用了俩个漏洞。
5月21日,研究人员证实, 名为“永恒之石”的新恶意软件采用了7个在今年4月被影子经纪人黑客团伙放出由NSA开发的漏洞利用。专家将该恶意软件描述为可突然袭击的“世界末日”级蠕虫。
本月初,WannaCry勒索软件在全球各大学校、医院和政府机关肆虐,席卷了超30万台电脑。这款勒索软件采用了2个NSA被泄漏洞利用——永恒之蓝和双脉冲星。几天后,研究人员发现了 Adylkuzz ——采用相同漏洞利用并创建僵尸网络以挖掘加密货币的新恶意软件。
如今,“永恒之石”出现。米洛斯拉夫·斯塔姆帕,克罗地亚计算机应急响应小组的一名网络安全专家,在5月17号的时候,首先发现了该黑客工具大杂烩。对“永恒之石”最早的发现,可以追溯到5月3号,他在GitHub上写的一篇描述文章( https://github.com/stamparm/EternalRocks )。
“永恒之石”利用了永恒之蓝(EternalBlue)、双脉冲星(DoublePulsar)、永恒斗士(EternalChampion)、永恒之爱(EternalRomance)、永远协同(EternalSynergy)、触摸架构(ArchiTouch)和触摸SMB(SMBTouch)等安全漏洞,而这些全都是影子经纪人泄露的NSA漏洞利用。斯塔姆帕称,他是在自己的 蜜罐 系统被感染后发现的这窝黑客工具。
这堆工具中的大多数,利用的都是PC常用标准文件共享技术Windows服务器消息块(SMB)中的漏洞, 也就是WannaCry得以隐秘快速传播的途径。微软在3月份发布了这些漏洞的补丁,但很多过时的老旧电脑依然有中招风险。
与警告用户“您已被勒索软件绑架”的WannaCry不同,“永恒之石”在计算机上保持安静低调不显山露水。一旦进入系统,它会下载Tor的私有浏览器,发送信号到其隐藏服务器。然后,进入等待状态。24小时内没有任何动作。但之后,服务器便会响应,开始下载和自我复制动作。这意味着,想要获取更多信息进行研究的安全专家们,至少要多耗费一天时间。
安全公司Plixer首席执行官迈克尔·帕特森说:“通过延迟通信,恶人试图更为隐秘。检测并阻止所有恶意软件的竞赛多年前已经输了。”
斯塔姆帕称,“永恒之石”甚至自命名为WannaCry来试图在安全研究人员面前隐身。与WannaCry变种类似, “永恒之石”同样去掉了“断路开关”,因而难以简单封锁。
目前为止,“永恒之石”依然静静地传播和感染更多计算机中。斯塔姆帕警告: 该蠕虫可于任何时候被武器化 ,就像WannaCry勒索软件在成功感染成千上万台电脑后突然锁定电脑一样。
有鉴于其隐秘本质,有多少台电脑已经被“永恒之石”感染尚未可知。它会被武器化成什么样子也还不明朗。Plixer称, 该蠕虫有可能马上被转化为针对银行业的勒索软件或木马攻击。
NSA因对这些漏洞利用留中不发而广受诟病。17号,国会引入了一项法案,可能会迫使政府将其网络武器库移交给独立审查委员会。
NSA没有就评论请求做出立即答复。
|