1. 事件
WannaCry勒索病毒余波未平,如今又出现了更变本加厉的EternalRocks(“永恒之石”)新病毒。永恒之石来势汹汹,利用了之前泄露的NSA武器库中的7个漏洞进行传播,包括SMB漏洞利用(ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY)及相关应用程序(DOUBLEPULSAR、ARCHITOUCH和SMBTOUCH)。
永恒之石利用服务器信息块(SMB)共享网络协议中的漏洞,去感染未修复的Windows系统。感染用户电脑后,“永恒之石”会下载Tor个人浏览器(可用来匿名浏览网页和发送邮件),并向C&C服务器发送信号。在接下来的24小时内,“永恒之石”不会有任何动作,直到服务器响应,才开始下载并自我复制。因此,与“永恒之蓝”相比,“永恒之石”更隐蔽,更不易觉察。
2. 样本收集
最早由Miroslav Stampar在5月17日发现,他通过沙箱捕获了这个样本,并在5月18日开始持续更新捕获的样本。
样本下载地址:
https://github.com/stamparm/EternalRocks
初始样本MD5:
406ac1595991ea7ca97bc908a6538131
5c9f450f2488140c21b6a0bd37db6a40
3. 样本分析
3.1. 样本基本分析结果
最早蜜罐捕获到两个恶意样本:406ac1595991ea7ca97bc908a6538131,5c9f450f2488140c21b6a0bd37db6a40。这两个样本都是C#编译的程序,之所以被蜜罐发现,是因为样本后台请求了C&C地址并返回版本号:ubgdgno5eswkhmpy[.]onion[.]cab,具体URL是:https://ubgdgno5eswkhmpy[.]onion[.]cab/updates/info?id=PC&v=1.1,39&download=next
5月17日,作者的截图版本为v1.0:24,当前版本为v3.0:24。
3.2. 样本下载器分析结果
样本能通过Tor链接地址部署下载器:
https://ubgdgno5eswkhmpy.onion/updates/download?id=PC。
执行的主程序是taskhost.exe。
MD5:
c52f20a854efb013a0a1248fd84aaa95
Taskhost.exe安装后除了释放方程式工具包,不会立即有其他动作。
其中shadowbrokers.zip为方程式工具集,包含多个工具:
此后样本一直潜伏,直到24小时后才会继续活动,再次执行请求:
https://ubgdgno5eswkhmpy.onion/updates/download?id=PC
3.3. 样本攻击行为分析结果
当安装成功24小时后,样本开始对外发送攻击包,针对SMB协议445端口:
在未到24时间内进程如果被终止然后再启动,会立即发动攻击。
3.4. 结论:永恒之石更复杂,但危险更小
作为蠕虫,永恒之石远不如WannaCry危险,因为它目前并没有传送任何恶意内容。然而,这并不意味着永恒之石就很简单。据Stampar所言,实际情况恰恰相反。
对于初学者来说,永恒之石比WannaCry的SMB蠕虫组件更为复杂。一旦成功感染了受害者,该蠕虫就会使用两阶段的安装过程,且延迟第二阶段。
在第一阶段中,永恒之石在感染的主机上获得权限,随后下载Tor客户端,并将其指向位于暗网的一个. Onion域名C&C服务器上。
只有经过预定义的休眠期(目前为24小时),C&C服务器才会做出回应。这种长时间的延迟很有可能帮助蠕虫绕过沙盒安全检测和安全研究人员的分析,因为很少有人会花费整整一天的时间等待C&C服务器做出回应。
3.5. 未来永恒之石可以随时实现武器化
由于永恒之石利用了大量NSA工具,缺乏“开关域名”,且在两个安装过程间设置了休眠期,一旦永恒之石开发者决定用勒索软件、银行木马、RAT或其他任何东西来将其武器化,那么永恒之石可能会对那些将脆弱的SMB端口暴露在网络上的计算机构成严重威胁。
初步看来,该蠕虫似乎还在测试过程中,或是其开发者正在测试蠕虫未来可能实现的威胁。
然而,这并不意味着永恒之石是无害的。攻击者可以通过C&C服务器对受此蠕虫感染的计算机设备发出指令进行控制,此外,蠕虫的开发者还可以利用此隐藏的通信通道将新的恶意软件发送到之前已被永恒之石感染的计算机中。
4. 处置方案
安恒信息提醒广大Windows系统用户:
补丁下载链接:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
请注意微软只会为仍在服务期内的版本发布补丁,对于较早的已不在服务期内的版本(Windows 7之前版本,Windows Server 2008之前版本),微软不会发布补丁。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本,建议用户部署基本的防火墙,禁止电脑直接使用公网IP。
5. 检测
病毒感染主机后,会创建C:\Program Files\Microsoft Updates\目录,生成多个病毒文件,如下图:
进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,病毒会创建2个计划任务ServiceHost和TaskHost,如下图:
在主机上发现以上特征,即可判断已经感染永恒之石病毒。
管理员可使用明鉴远程安全评估系统对网络内未安装补丁及中了Doublepulsar后门的主机进行远程检测,如下图:
- END -