紧急预警 | 高危病毒“永恒之石”来袭

1. 事件

WannaCry勒索病毒余波未平,如今又出现了更变本加厉的EternalRocks(“永恒之石”)新病毒。永恒之石来势汹汹,利用了之前泄露的NSA武器库中的7个漏洞进行传播,包括SMB漏洞利用(ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY)及相关应用程序(DOUBLEPULSAR、ARCHITOUCH和SMBTOUCH)。

永恒之石利用服务器信息块(SMB)共享网络协议中的漏洞,去感染未修复的Windows系统。感染用户电脑后,“永恒之石”会下载Tor个人浏览器(可用来匿名浏览网页和发送邮件),并向C&C服务器发送信号。在接下来的24小时内,“永恒之石”不会有任何动作,直到服务器响应,才开始下载并自我复制。因此,与“永恒之蓝”相比,“永恒之石”更隐蔽,更不易觉察

2. 样本收集

最早由Miroslav Stampar在5月17日发现,他通过沙箱捕获了这个样本,并在5月18日开始持续更新捕获的样本。

样本下载地址:

https://github.com/stamparm/EternalRocks

初始样本MD5:

406ac1595991ea7ca97bc908a6538131

5c9f450f2488140c21b6a0bd37db6a40

3. 样本分析

3.1. 样本基本分析结果

最早蜜罐捕获到两个恶意样本:406ac1595991ea7ca97bc908a6538131,5c9f450f2488140c21b6a0bd37db6a40。这两个样本都是C#编译的程序,之所以被蜜罐发现,是因为样本后台请求了C&C地址并返回版本号:ubgdgno5eswkhmpy[.]onion[.]cab,具体URL是:https://ubgdgno5eswkhmpy[.]onion[.]cab/updates/info?id=PC&v=1.1,39&download=next

5月17日,作者的截图版本为v1.0:24,当前版本为v3.0:24。

3.2. 样本下载器分析结果

样本能通过Tor链接地址部署下载器:

https://ubgdgno5eswkhmpy.onion/updates/download?id=PC。

执行的主程序是taskhost.exe。

MD5:

c52f20a854efb013a0a1248fd84aaa95

Taskhost.exe安装后除了释放方程式工具包,不会立即有其他动作。

其中shadowbrokers.zip为方程式工具集,包含多个工具:

此后样本一直潜伏,直到24小时后才会继续活动,再次执行请求:

https://ubgdgno5eswkhmpy.onion/updates/download?id=PC

3.3. 样本攻击行为分析结果

当安装成功24小时后,样本开始对外发送攻击包,针对SMB协议445端口:

在未到24时间内进程如果被终止然后再启动,会立即发动攻击。

3.4. 结论:永恒之石更复杂,但危险更小

作为蠕虫,永恒之石远不如WannaCry危险,因为它目前并没有传送任何恶意内容。然而,这并不意味着永恒之石就很简单。据Stampar所言,实际情况恰恰相反。

对于初学者来说,永恒之石比WannaCry的SMB蠕虫组件更为复杂。一旦成功感染了受害者,该蠕虫就会使用两阶段的安装过程,且延迟第二阶段。

在第一阶段中,永恒之石在感染的主机上获得权限,随后下载Tor客户端,并将其指向位于暗网的一个. Onion域名C&C服务器上。

只有经过预定义的休眠期(目前为24小时),C&C服务器才会做出回应。这种长时间的延迟很有可能帮助蠕虫绕过沙盒安全检测和安全研究人员的分析,因为很少有人会花费整整一天的时间等待C&C服务器做出回应。

3.5. 未来永恒之石可以随时实现武器化

由于永恒之石利用了大量NSA工具,缺乏“开关域名”,且在两个安装过程间设置了休眠期,一旦永恒之石开发者决定用勒索软件、银行木马、RAT或其他任何东西来将其武器化,那么永恒之石可能会对那些将脆弱的SMB端口暴露在网络上的计算机构成严重威胁。

初步看来,该蠕虫似乎还在测试过程中,或是其开发者正在测试蠕虫未来可能实现的威胁。

然而,这并不意味着永恒之石是无害的。攻击者可以通过C&C服务器对受此蠕虫感染的计算机设备发出指令进行控制,此外,蠕虫的开发者还可以利用此隐藏的通信通道将新的恶意软件发送到之前已被永恒之石感染的计算机中。

4. 处置方案

安恒信息提醒广大Windows系统用户:

  • 目前微软已发布补丁MS17-010修复了“永恒之石”工具所利用的系统漏洞,请尽快为电脑安装此补丁。

补丁下载链接:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

请注意微软只会为仍在服务期内的版本发布补丁,对于较早的已不在服务期内的版本(Windows 7之前版本,Windows Server 2008之前版本),微软不会发布补丁。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本,建议用户部署基本的防火墙,禁止电脑直接使用公网IP。

  • 在Windows系统上关闭不必要开放的端口,如445、135、137、138、139等,并关闭网络共享。

5. 检测

  • 本地检查

病毒感染主机后,会创建C:\Program Files\Microsoft Updates\目录,生成多个病毒文件,如下图:

进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,病毒会创建2个计划任务ServiceHost和TaskHost,如下图:

在主机上发现以上特征,即可判断已经感染永恒之石病毒。

  • 远程扫描

管理员可使用明鉴远程安全评估系统对网络内未安装补丁及中了Doublepulsar后门的主机进行远程检测,如下图:

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-05-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Vamei实验室

协议森林12 天下为公 (TCP堵塞控制)

在TCP协议中,我们使用连接记录TCP两端的状态,使用编号和分段实现了TCP传输的有序,使用advertised window来实现了发送方和接收方处理能力的匹...

21780
来自专栏菜鸟程序员

多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权

21440
来自专栏机器人网

电气主接线常见8种接线方式特点

一、线路变压器组接线 线路变压器组接线就是线路和变压器直接相连,是一种最简单的接线方式,线路变压器组接线的优点是断路器少,接线简单,造价省,对变电所的供电负荷...

43860
来自专栏信安之路

php 一句话木马检测绕过研究

一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做 Webshell。

1.5K00
来自专栏FreeBuf

Hacking Tools搜罗大集合

各种各样的黑客工具浩如天上繁星,这也让许多刚刚入门安全技术圈的童鞋感到眼花缭乱,本文整理了常用的安全技术工具,希望能够给你带来帮助。以下大部分工具可以在 Git...

35690
来自专栏FreeBuf

基于ArduinoLeonardo板子的BadUSB攻击实战

前言 在Freebuf上许多同学已经对HID攻击谈了自己的看法,如维克斯同学的《利用Arduino快速制作Teensy BadUSB》无论从科普还是实践都给我们...

42570
来自专栏北京马哥教育

抖音 Python 机器人,论如何在抖音上找到漂亮小姐姐

589100
来自专栏java一日一条

如何给你的女神修Mac电脑

话不多说,直接进入正题,如果你或者你的女神使用 Mac 遇到以下这些问题的话,你可以来看看怎么解决。

12720
来自专栏FreeBuf

谁干的?暗网最大网络托管商被黑,6500个网站遭彻底删除

2017年,“匿名者”组织攻击并拿下了暗网托管商Freedom Hosting II后,Daniel's Hosting一跃成为最大的暗网托管商。

10520
来自专栏FreeBuf

FACT:一款固件类比分析测试平台

1.FACT 全称 Firmware Analysis and Comparison Tool 是一个拥有WEB端的自动化固件测试平台。

25420

扫码关注云+社区

领取腾讯云代金券