在WannaCry瘋狂傳播的尾聲,上周三(5.17)安全研究員Miroslav Stampar(克羅地亞政府CERT成員、Sqlmap的創造者之一)在他搭建的SMB蜜罐中,發現新的蠕蟲正在通過SMB漏洞傳播。研究員Stampar的蜜罐中捕獲的不是WannaCry,而是一種利用7種NSA工具新的蠕蟲。
0x01、EternalRocks特點
1、EternalRocks利用7種NSA工具
研究員Stampar把這款新的蠕蟲命名為EternalRocks,他在蠕蟲程序中發現這個樣本,該樣本利用六種NSA工具來感染網絡上暴露SMB端口的計算機,這些用來攻擊計算機的SMB漏洞的NSA工具是ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE,和 ETERNALSYNERGY。其中SMBTOUCH和ARCHITOUCH 是NSA工具中用來對SMB漏洞掃描的。一旦蠕蟲成功攻擊一臺計算機,便可利用另外一個NSA工具(DOUBLEPULSAR)感染其他易受攻擊的計算機。
WannaCry瘋狂傳播目前已經有240,000多臺計算機被勒索攻擊,WannaCry正是使用的SMB漏洞來攻擊和感染計算機。但是,WannaCry和EternalRocks之間存在不同之處,WannaCry只使用ETERNALBLUE和DOUBLEPULSAR這兩種NSA工具來感染計算機,而EternalRocks利用了NSA工具種的7種。
2、EternalRocks更復雜,但危險更小
研究員Stampar披露:作為一個蠕蟲,EternalRocks的危險性遠不如WannaCry,因為它目前沒有綁定任何惡意軟件。但是并不意味著EternalRocks就很簡單,結果恰恰相反。EternalRocks比WannaCry的SMB蠕蟲組件更為復雜,因為EternalRocks對計算機的感染一共分為兩步,第一步執行完后存在一個休眠期,休眠期結束后才會執行第二步。
在第一步,EternalRocks感染計算機并獲得權限,然后下載Tor客戶端運行,然后向暗網中一個. Onion域名C&C服務器發出請求。
經過休眠期(目前為24小時),C&C服務器才會做出響應。休眠期的存在可能會繞過沙盒安全檢測,或者是安全研究者對蠕蟲的分析,所以推遲24小時C&C服務器才做出響應是非常有必要的。
3、無開關域名
另外,EternalRocks使用與WannaCry相同名稱的文件,目的是引導安全研究人員將其錯誤分類,擾亂逆向分析方向。
與WannaCry不同的是,EternalRocks并沒有使用“開關域名”, “開關域名”在 WannaCry傳播中起著至關重要的作用,以至于安全研究員在WannaCry傳播的時候發現“開關域名”的作用后,把域名注冊后WannaCry暫時停止傳播。
經過24小時的休眠期,C&C服務器開始響應。EternalRocks開始進入第二步,在第一步已感染主機上下載一個名為shadowbrokers.zip的壓縮包。shadowbrokers.zip文件目前不用過多介紹,安全從業者們也知道是做什么用的。接下來,EternalRocks便開始快速掃描IP并嘗試連接、感染。
0x02、利用EternalRocks進行深入攻擊
由于EternalRocks利用的NSA工具多且無“開關域名”,同時存在一個休眠期。如果EternalRocks作者綁定一些勒索軟件、木馬、RAT或者其他的惡意軟件,那么EternalRocks可能會對公網上存在SMB漏洞的計算機構成嚴重威脅。
目前來看,這個蠕蟲還在測試中,其作者正在測試蠕蟲未來可能具有威脅。并不意味著EternalRocks無殺傷力,EternalRocks作者可以通過C&C服務器對已感染的計算機發出指令,同時可以利用此隱藏的通信通道將新的惡意軟件發送到之前已被EternalRocks感染的計算機。
另外,NSA工具中具有后門功能的DOUBLEPULSAR同樣可以在已感染EternalRocks的計算機上運行,但是,EternalRocks作者沒有對已感染EternalRocks的計算機上的DOUBLEPULSA使用采取任何加密保護措施,DOUBLEPULSAR目前都是默認配置。其他攻擊者也可以使用已感染EternalRocks的計算機中的后門,可以通過這個后門安裝新的惡意軟件到計算機中。更多詳細介紹可以去Stampar研究員的github 上查看:https://github.com/stamparm/EternalRocks/
0x03、免費的SMB
目前,黑客們已經在掃描使用舊版本SMB協議的計算機,或者沒有為系統打補丁的計算機。WannaCry勒索軟件爆發后,管理員們高度關注,對存在漏洞的機器打補丁或者禁用舊版本SMB協議,這樣一來能被EternalRocks感染的機器數量正在慢慢減少。
研究員Stampar說:管理員們越快為系統打上新補丁越好,但是如果EternalRocks在管理員打補丁之前就已經感染,那么EternalRocks的控制者便可隨時發動的進一步攻擊。
| 
