据悉,该蠕虫由安全研究人员Miroslav Stampar(克罗地亚政府CERT成员,以及用于检测和利用SQL注入漏洞的sqlmap工具的开发者)于上周三(5月17日)在自己搭建的SMB蜜罐中发现。
该蠕虫被Stampar命名为“EternalRocks”,研究人员在一个样本中发现了该蠕虫的可执行属性,它通过使用6个以SMB为中心的NSA工具来感染网络上暴露SMB端口的计算机。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4个NSA工具主要用于攻击脆弱计算机设备上的SMB漏洞,而SMBTOUCH和ARCHITOUCH 是2个用于SMB漏洞扫描的NSA工具。
一旦该蠕虫获取了初步的立足点,那么它将使用另一个NSA工具——DOUBLEPULSAR来感染其他新的易受攻击的计算机。
影响超过24万受害者的WannaCry勒索软件也是使用SMB漏洞来感染计算机设备,并将病毒传播给新的受害者。
不过,与EternalRocks不同的是,WannaCry的SMB蠕虫只使用了ETERNALBLUE和DOUBLEPULSAR两种NSA工具,ETERNALBLUE用于初始攻击,DOUBLEPULSAR用于将病毒传播至新的设备上,而此次发现的EternalRocks却包含7种NSA工具。
作为蠕虫,EternalRocks远不如WannaCry危险,因为它目前并没有传送任何恶意内容。然而,这并不意味着EternalRocks就很简单。据Stampar所言,实际情况恰恰相反。
对于初学者来说,EternalRocks比WannaCry的SMB蠕虫组件更为复杂。一旦成功感染了受害者,该蠕虫就会使用两阶段的安装过程,且延迟第二阶段。
在第一阶段中,EternalRocks在感染的主机上获得权限,随后下载Tor客户端,并将其指向位于暗网的一个. Onion域名C&C服务器上。
只有经过预定义的休眠期(目前为24小时),C&C服务器才会做出回应。这种长时间的延迟很有可能帮助蠕虫绕过沙盒安全检测和安全研究人员的分析,因为很少有人会花费整整一天的时间等待C&C服务器做出回应。
此外,EternalRocks还使用了与WannaCry的SMB蠕虫相同的文件名称,这是另一个试图愚弄安全研究人员将其错误分类的尝试。
但是与WannaCry不同的是,EternalRocks并没有“开关域名(kill switch)”。在 WannaCry中,安全研究人员正是利用该“开关域名”功能,成功阻止了WannaCry的传播。
在初始休眠期到期后,C&C服务器便会做出响应,EternalRocks也开始进入第二阶段的安装过程,下载一个以shadowbrokers.zip命名的第二阶段恶意软件组件。
然后,EternalRocks便开始IP快速扫描过程,并尝试连接到任意IP地址中。
由于EternalRocks利用了大量NSA工具,缺乏“开关域名”,且在两个安装过程间设置了休眠期,一旦EternalRocks开发者决定用勒索软件、银行木马、RAT或其他任何东西来将其武器化,那么EternalRocks可能会对那些将脆弱的SMB端口暴露在网络上的计算机构成严重威胁。
初步看来,该蠕虫似乎还在测试过程中,或是其开发者正在测试蠕虫未来可能实现的威胁。
然而,这并不意味着EternalRocks是无害的。攻击者可以通过C&C服务器对受此蠕虫感染的计算机设备发出指令进行控制,此外,蠕虫的开发者还可以利用此隐藏的通信通道将新的恶意软件发送到之前已被EternalRocks感染的计算机中。
此外,具有后门功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的计算机上运行。不幸的是,EternalRocks的开发者并没有采取任何措施来保护DOUBLEPULSAR,DOUBLEPULSAR目前在默认无保护的状态下运行,这意味着,其他攻击者也可以利用已经感染了EternalRocks的计算机设备中的后门,并通过该后门安装新的恶意软件到计算机中。
有兴趣可以前往github ,查看更多关于IOCs和蠕虫感染过程的信息。
目前,有很多攻击者正在扫描运行旧版和未修补版本SMB服务的计算机。系统管理员们也已经注意到此事,并开始修复存在漏洞的计算机,或是禁用旧版的SMBv1 协议,从而逐渐减少被EternalRocks感染的机器数量。
此外,恶意软件(如Adylkuzz)也开始关闭SMB端口,防止被其他威胁进一步利用,此举也有助于减少EternalRocks和其他SMB狩猎(SMB-hunting)恶意软件的潜在目标数量。Forcepoint、Cyphort和Secdo的报告详细介绍了目前针对具有SMB端口的计算机的其他威胁。
不管怎么说,系统管理员能够越快为他们的系统打上补丁越好。Stampar表示,