锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
最新SMB僵尸网络利用了7个NSA工具,而WannaCry只用了两个

作者: 佚名  日期:2017-05-27 12:12:09   来源: 本站整理

 
近日,研究人员检测出了一种新的蠕虫正在通过SMB传播,但与WannaCry勒索软件的蠕虫有所不同,这种蠕虫病毒使用了7种NSA工具,而WannaCry仅使用了两种,这是否意味着该蠕虫将为全球网络带来更为严重的冲击?
据悉,该蠕虫由安全研究人员Miroslav Stampar(克罗地亚政府CERT成员,以及用于检测和利用SQL注入漏洞的sqlmap工具的开发者)于上周三(5月17日)在自己搭建的SMB蜜罐中发现。
EternalRocks使用了7种NSA工具
该蠕虫被Stampar命名为“EternalRocks”(国内厂商将其译作“永恒之石”),研究人员在一个样本中发现了该蠕虫的可执行属性,它通过使用6个围绕SMB的NSA工具来感染网络上暴露SMB端口的计算机。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4个NSA工具主要用于攻击计算机设备上的SMB漏洞,而SMBTOUCH和ARCHITOUCH 是2个用于SMB漏洞扫描的NSA工具。
一旦该蠕虫获取了初步的立足点,那么它将使用另一个NSA工具——DOUBLEPULSAR来感染其他新的易受攻击的计算机。
 

影响超过24万受害者的WannaCry勒索软件就是使用SMB漏洞来感染计算机设备,并将病毒传播给新的受害者。
不过,与EternalRocks不同的是,WannaCry的SMB蠕虫只使用了ETERNALBLUE和DOUBLEPULSAR两种NSA工具,ETERNALBLUE用于初始攻击,DOUBLEPULSAR用于将病毒传播至新的设备上,而此次发现的EternalRocks如上所述却包含7种NSA工具。
EternalRocks更复杂,但危险更小 
作为蠕虫,EternalRocks远不如WannaCry危险,因为它目前并没有传送任何恶意内容。然而,这并不意味着EternalRocks就很简单。据Stampar所言,实际情况恰恰相反。
对于初学者来说,EternalRocks比WannaCry的SMB蠕虫组件更为复杂。一旦成功感染了受害者,该蠕虫就会使用两阶段的安装过程,且延迟第二阶段。
在第一阶段中,EternalRocks在感染的主机上获得权限,随后下载Tor客户端,并将其指向位于暗网的一个. Onion域名C&C服务器上。
只有经过预定义的休眠期(目前为24小时),C&C服务器才会做出回应。这种长时间的延迟很有可能帮助蠕虫绕过沙盒安全检测和安全研究人员的分析,因为很少有人会花费整整一天的时间等待C&C服务器做出回应。
没有开关(kill switch)域名
此外,EternalRocks还使用了与WannaCry的SMB蠕虫相同的文件名称,这是另一个试图愚弄安全研究人员将其错误分类的尝试。
但是与WannaCry不同的是,EternalRocks并没有“开关域名(kill switch)”。在 WannaCry中,安全研究人员正是利用该“开关域名”功能,成功阻止了WannaCry的传播。
在初始休眠期到期后,C&C服务器便会做出响应,EternalRocks也开始进入第二阶段的安装过程,下载一个以shadowbrokers.zip命名的第二阶段恶意软件组件。
然后,EternalRocks便开始IP快速扫描过程,并尝试连接到任意IP地址中。
 

EternalRocks可以随时实现武器化
由于EternalRocks利用了大量NSA工具,缺乏“开关域名”,且在两个安装过程间设置了休眠期,一旦EternalRocks开发者决定用勒索软件、银行木马、RAT或其他任何东西来将其武器化,那么EternalRocks可能会对那些将脆弱的SMB端口暴露在网络上的计算机构成严重威胁。
初步看来,该蠕虫似乎还在测试过程中,或是其开发者正在测试蠕虫未来可能实现的威胁。
然而,这并不意味着EternalRocks是无害的。攻击者可以通过C&C服务器对受此蠕虫感染的计算机设备发出指令进行控制,此外,蠕虫的开发者还可以利用此隐藏的通信通道将新的恶意软件发送到之前已被EternalRocks感染的计算机中。
此外,具有后门功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的计算机上运行。不幸的是,EternalRocks的开发者并没有采取任何措施来保护DOUBLEPULSAR,DOUBLEPULSAR目前在默认无保护的状态下运行,这意味着,其他攻击者也可以利用已经感染了EternalRocks的计算机设备中的后门,并通过该后门安装新的恶意软件到计算机中。
有兴趣可以前往github ,查看更多关于IOCs和蠕虫感染过程的信息。
请注意SMB端口
目前,有很多攻击者正在扫描运行旧版和未修补版本SMB服务的计算机。系统管理员们也已经注意到此事,并开始修复存在漏洞的计算机,或是禁用旧版的SMBv1 协议,从而逐渐减少被EternalRocks感染的机器数量。 
此外,许多恶意软件(如Adylkuzz)也纷纷关闭SMB端口,防止被其他威胁进一步利用,此举也有助于减少EternalRocks和其他SMB狩猎(SMB-hunting)恶意软件的潜在目标数量。Forcepoint、 Cyphort和Secdo的报告详细介绍了目前针对具有SMB端口的计算机的其他威胁。
不管怎么说,系统管理员能够越快为他们的系统打上补丁越好。Stampar表示,
“目前,该蠕虫正在与系统管理员之间进行一场时间竞赛,如果它在管理员打补丁之前就成功感染计算机,那么其开发者便可以随时将其武器化,组织进一步攻击行动,无碍于后期什么时候能打上补丁。”



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等