最新SMB僵尸网络利用了7个NSA工具,而WannaCry只用了两个……

近日,研究人员检测出了一种新的蠕虫正在通过SMB传播,但与WannaCry勒索软件的蠕虫有所不同,这种蠕虫病毒使用了7种NSA工具,而WannaCry仅使用了两种,这是否意味着该蠕虫将为全球网络带来更为严重的冲击?

据悉,该蠕虫由安全研究人员Miroslav Stampar(克罗地亚政府CERT成员,以及用于检测和利用SQL注入漏洞的sqlmap工具的开发者)于上周三(5月17日)在自己搭建的SMB蜜罐中发现。

EternalRocks使用了7种NSA工具

该蠕虫被Stampar命名为“EternalRocks”,研究人员在一个样本中发现了该蠕虫的可执行属性,它通过使用6个以SMB为中心的NSA工具来感染网络上暴露SMB端口的计算机。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4个NSA工具主要用于攻击脆弱计算机设备上的SMB漏洞,而SMBTOUCH和ARCHITOUCH 是2个用于SMB漏洞扫描的NSA工具。

一旦该蠕虫获取了初步的立足点,那么它将使用另一个NSA工具——DOUBLEPULSAR来感染其他新的易受攻击的计算机。

影响超过24万受害者的WannaCry勒索软件也是使用SMB漏洞来感染计算机设备,并将病毒传播给新的受害者。

不过,与EternalRocks不同的是,WannaCry的SMB蠕虫只使用了ETERNALBLUE和DOUBLEPULSAR两种NSA工具,ETERNALBLUE用于初始攻击,DOUBLEPULSAR用于将病毒传播至新的设备上,而此次发现的EternalRocks却包含7种NSA工具。

EternalRocks更复杂,但危险更小

作为蠕虫,EternalRocks远不如WannaCry危险,因为它目前并没有传送任何恶意内容。然而,这并不意味着EternalRocks就很简单。据Stampar所言,实际情况恰恰相反。

对于初学者来说,EternalRocks比WannaCry的SMB蠕虫组件更为复杂。一旦成功感染了受害者,该蠕虫就会使用两阶段的安装过程,且延迟第二阶段。

在第一阶段中,EternalRocks在感染的主机上获得权限,随后下载Tor客户端,并将其指向位于暗网的一个. Onion域名C&C服务器上。

只有经过预定义的休眠期(目前为24小时),C&C服务器才会做出回应。这种长时间的延迟很有可能帮助蠕虫绕过沙盒安全检测和安全研究人员的分析,因为很少有人会花费整整一天的时间等待C&C服务器做出回应。

没有开关(kill switch)域名

此外,EternalRocks还使用了与WannaCry的SMB蠕虫相同的文件名称,这是另一个试图愚弄安全研究人员将其错误分类的尝试。

但是与WannaCry不同的是,EternalRocks并没有“开关域名(kill switch)”。在 WannaCry中,安全研究人员正是利用该“开关域名”功能,成功阻止了WannaCry的传播。

在初始休眠期到期后,C&C服务器便会做出响应,EternalRocks也开始进入第二阶段的安装过程,下载一个以shadowbrokers.zip命名的第二阶段恶意软件组件。

然后,EternalRocks便开始IP快速扫描过程,并尝试连接到任意IP地址中。

EternalRocks可以随时实现武器化

由于EternalRocks利用了大量NSA工具,缺乏“开关域名”,且在两个安装过程间设置了休眠期,一旦EternalRocks开发者决定用勒索软件、银行木马、RAT或其他任何东西来将其武器化,那么EternalRocks可能会对那些将脆弱的SMB端口暴露在网络上的计算机构成严重威胁。

初步看来,该蠕虫似乎还在测试过程中,或是其开发者正在测试蠕虫未来可能实现的威胁。

然而,这并不意味着EternalRocks是无害的。攻击者可以通过C&C服务器对受此蠕虫感染的计算机设备发出指令进行控制,此外,蠕虫的开发者还可以利用此隐藏的通信通道将新的恶意软件发送到之前已被EternalRocks感染的计算机中。

此外,具有后门功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的计算机上运行。不幸的是,EternalRocks的开发者并没有采取任何措施来保护DOUBLEPULSAR,DOUBLEPULSAR目前在默认无保护的状态下运行,这意味着,其他攻击者也可以利用已经感染了EternalRocks的计算机设备中的后门,并通过该后门安装新的恶意软件到计算机中。

有兴趣可以前往github ,查看更多关于IOCs和蠕虫感染过程的信息。

一个免费的 SMB

目前,有很多攻击者正在扫描运行旧版和未修补版本SMB服务的计算机。系统管理员们也已经注意到此事,并开始修复存在漏洞的计算机,或是禁用旧版的SMBv1 协议,从而逐渐减少被EternalRocks感染的机器数量。

此外,恶意软件(如Adylkuzz)也开始关闭SMB端口,防止被其他威胁进一步利用,此举也有助于减少EternalRocks和其他SMB狩猎(SMB-hunting)恶意软件的潜在目标数量。Forcepoint、Cyphort和Secdo的报告详细介绍了目前针对具有SMB端口的计算机的其他威胁。

不管怎么说,系统管理员能够越快为他们的系统打上补丁越好。Stampar表示,

“目前,该蠕虫正在与系统管理员之间进行一场时间竞赛,如果它在管理员打补丁之前就成功感染计算机,那么其开发者便可以随时将其武器化,组织进一步攻击行动,无碍于后期什么时候能打上补丁。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-05-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

继震网病毒Stuxnet之后,Duqu现身

Stuxnet蠕虫病毒(震网,又名超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC...

30740
来自专栏玄魂工作室

CTF实战22 病毒感染技术

是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件

11020
来自专栏云基础安全

3分钟了解主机安全问题

《碟中谍4》中,位于迪拜塔137层的数据中心,网络防火墙是军用级别口令和硬件网关,破解防护困难。于是阿汤哥只身从130楼爬到137楼,进入数据中心,绕过防护设备...

72320
来自专栏漏斗社区

专属| 这是一个能降级HTTPS的恶意软件

今天是高考的最后一天啦!许多可爱的小萌新们将踏上一段新的人生旅程。多年的友情与青春终究在一次次相聚与别离中散场,各奔东西,未来的时光愿各自安好!愿放榜的日子里,...

14850
来自专栏FreeBuf

警惕,WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序

WinRAR解压缩软件在中国有非常大的保有量,中国也是WinRAR的重要市场。不过最近卡巴斯基实验室的研究报告却让我们惊出一身冷汗,某些来源的WinRAR和Tr...

27860
来自专栏企鹅号快讯

《网络战争》第59期:暗网暴露 14 亿明文密码库,或成史上最大规模数据泄露案

据外媒报道,美国一家网络情报公司 4iQ 于 12 月 5 日在暗网社区论坛上发现了一个大型汇总数据库,其中包含了 14 亿明文用户名和密码组合,牵涉 Link...

44180
来自专栏FreeBuf

[APT攻击]趋势科技捕获一次APT攻击活动

趋势科技曾经在2013年下半年度目标攻击综合报告里指出,发现了好几起APT攻击-高级持续性渗透攻击 (Advanced Persistent Threat, A...

21180
来自专栏黑白安全

A站(acfun)与摩拜单车(mobike)疑似遭黑客入侵

根据聊天截图,可以知道,A站与摩拜均被getshell,就在几小时前,A站已发文宣称确定被黑,数据库泄露。AcFun弹幕视频网(A站)在其官网发布《关于AcFu...

9140
来自专栏工科狗和生物喵

【图】深度优先算法(DFS)

13050
来自专栏域名资讯

品相优! 英文域名Matrix.io近20万元交易

含义好的域名无论在怎样的国别,都能很好的使用,这样一来,其价格肯定也不会低。近日,在海外平台上就有一枚matrix.io域名结拍,价格为30000美...

26690

扫码关注云+社区

领取腾讯云代金券