EternalRocks恶意软件用了7种NSA黑客工具 比Wannacry更厉害 潜伏期24小时

一安全研究人员发现了一款新的恶意软件。这款恶意软件与 WannaCry勒索软件 一样，通过利用Windows SMB文件共享协议中的漏洞自行传播，但是与后者不同的是，它使用了近期泄露的美国国家安全局（NSA）的7种黑客工具，而后者仅使用了2种！

update：应对方法看这里 【下载】永恒之石EternalRocks蠕虫病毒影响全球24万台主机 绿盟科技发布应急处置方案

EternalRocks居然用了7种NSA黑客工具

上周，我们警告说，多个黑客组织目前正利用遭泄露的NSA黑客工具，不过多数组织仅使用其中的两种工具：EternalBlue（永恒之蓝）和DoublePulsar（脉冲双星）。

安全研究人员Miroslav Stampar（曾开发了著名的“sqlmap”工具，现为克罗地亚政府CERT成员）近期发现了一款名为“EternalRocks”（永恒之石）的新的网络蠕虫，其危险程度超过WannaCry，且没有开关域名。

与WannaCry不同，设计EternalRocks的人似乎有意让它暗中运行，使它可以潜伏在受影响系统中而不被察觉。然而，Stampar是在EternalRocks感染了自己的SMB蜜罐之后发现它的。

Stampar在自己的推文中将EternalRocks称为“DoomsDayWorm”，称其利用了如下NSA工具：

1. EternalBlue — SMBv1利用工具
2. EternalRomance — SMBv1利用工具
3. EternalChampion — SMBv2利用工具
4. EternalSynergy — SMBv3利用工具
5. SMBTouch — SMB侦测工具
6. ArchTouch — SMB侦测工具
7. DoublePulsar — 后门木马

我们在之前的文章中提到，SMBTouch和ArchTouch是SMB侦测工具，用于扫描公共网络上的开放SMB端口。而EternalBlue、EternalChampion、EternalSynergy和EternalRomance是SMB利用工具，用于入侵有漏洞的Windows计算机。DoublePulsar用于在同一网络的有漏洞的机器之间传播蠕虫。

Stampar发现，EternalRocks将自己伪装成WannaCry，欺骗安全研究人员，但是它并不释放间谍软件，而是非法控制受影响计算机，以便进一步攻击。

EternalRocks 攻击原理

EternalRocks分两阶段安装。

第一阶段， EternalRocks在受影响计算机中下载Web浏览器Tor，之后将其连接到自己的C&C（命令与控制）服务器，这个服务器位于暗网（Dark Web）的Tor网络中。Stampar分析，

“第一阶段，恶意软件UpdateInstaller.exe（与第二阶段恶意软件配合进行远程利用）从网上下载必要的.NET组件（以备后续使用）TaskScheduler和SharpZLib，同时释放svchost.exe（样本）和taskhost.exe（样本）。”

第二阶段， 根据Stampar所说，第二阶段在24小时候发生，以避免沙箱技术检测到蠕虫感染。24小时后，EternalRocks响应C&C服务器，回复包含上述7种Windows SMB利用工具的文件夹。Stampar补充道。

“svchost.exe组件用于从archive.torproject.org下载、解包、运行Tor，同时与C&C（ubgdgno5eswkhmpy.onion）通信，请求更多指令（如安装新组件），”

所有这7种SMB利用工具会随之下载到受影响计算机中。接下来，EternalRocks便会扫描网络中的开放SMB端口，自行传播，感染其他的漏洞系统。

麻烦来了！

若您关注了近期关于WannaCry间谍软件和影子经纪人数据泄露的报道，您一定会知道这个黑客集团最近宣布将从下月开始陆续公布针对Web浏览器、智能手机、路由器和Windows操作系统（包括Windows 10）的新的零日漏洞和利用程序。

只要花钱订购其精品服务，便可获得这些零日漏洞和利用程序的专有访问权。不过，影子经纪人迄今仍未公布订购价格。黑客和国家资助的攻击者现正等着利用新的零日漏洞发动攻击，而在攻击发生前，防护无从可谈。

原文发布时间：2017年5月23日

本文由：HackerNews发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/eternalrocks-vs-wannacry

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站