WannaCry勒索病毒余波未平,如今又出现了更变本加厉的EternalRocks(“永恒之石”)新病毒,永恒之石来势汹汹,竟利用了7个NSA漏洞利用。
根据GitHub上的介绍,“永恒之石”是2017年5月上旬浮出水面的一款网络蠕虫(自我复制蠕虫),目前已知最早的样本为5月3日的:fc75410aa8f76154f5ae8fe035b9a13c76f6e132077346101a0d673ed9f3a0dd。
这款蠕虫通过公开的(影子经纪人泄露的NSA工具)SMB漏洞利用(ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY)及相关应用程序(DOUBLEPULSAR、ARCHITOUCH和SMBTOUCH)进行传播。
新蠕虫“永恒之石”来势汹汹:利用NSA七大黑客工具-E安全
“永恒之石”与WannaCry有什么关联?
永恒之石蠕虫利用服务器信息块(SMB)共享网络协议中的漏洞,去感染未修复的Windows系统。与WannaCry不同的是,“永恒之石”不会捆绑破坏性的恶意软件的有效载荷(至少现在不会)。这款病毒不具有“Kill Switch”功能,因此无法被轻易阻止。
WannaCry会提醒受害者遭遇了勒索病毒感染,而“永恒之石”会安静、隐藏地待在受害者的电脑中。一旦进入电脑,“永恒之石”会下载Tor个人浏览器(可用来匿名浏览网页和发送邮件),并向这款蠕虫的隐藏服务器发送信号。之后,“永恒之石”在接下来的24个小时内不会有任何动作,它会静静等待直到服务器响应,开始下载并自我复制。这就意味着,安全专家想要获取该蠕虫病毒的更多信息来研究,将会滞后一天。
新蠕虫“永恒之石”来势汹汹:利用NSA七大黑客工具-E安全
安全公司Plixer CEO迈克尔·帕特森称,这款病毒甚至“自称”WannaCry,试图向安全研究人员隐藏身份。
根据研究人员对永恒之石的早期分析显示,这款病毒利用了7个NSA黑客工具,而WannaCry仅仅部署了两个漏洞进行扩散。
Vectra Networks欧洲、中东和非洲(EMEA)总监马特·沃姆斯利评论称,永恒之石是WannaCry群体扔出第二个“重磅”炸弹,因为“永恒之石”更黑暗、更精炼,除了针对的目标群体相同。
在未被发现的情况下,“永恒之石”可以使用SBM文件共享协议,快速传遍互联网和私有网络,迅速感染未打补丁的系统,并且,不依赖用户点击网络钓鱼电子邮件进行链接。
本文转自d1net(转载)
