在WannaCry瘋狂傳播的尾聲，上周三（5.17）安全研究員Miroslav Stampar（克羅地亞政府CERT成員、Sqlmap的創(chuàng)造者之一）在他搭建的SMB蜜罐中，發(fā)現(xiàn)新的蠕蟲正在通過SMB漏洞傳播。研究員Stampar的蜜罐中捕獲的不是WannaCry，而是一種利用7種NSA工具新的蠕蟲。
0x01、EternalRocks特點
1、EternalRocks利用7種NSA工具
研究員Stampar把這款新的蠕蟲命名為EternalRocks，他在蠕蟲程序中發(fā)現(xiàn)這個樣本，該樣本利用六種NSA工具來感染網(wǎng)絡(luò)上暴露SMB端口的計算機，這些用來攻擊計算機的SMB漏洞的NSA工具是ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE,和 ETERNALSYNERGY。其中SMBTOUCH和ARCHITOUCH 是NSA工具中用來對SMB漏洞掃描的。一旦蠕蟲成功攻擊一臺計算機，便可利用另外一個NSA工具（DOUBLEPULSAR）感染其他易受攻擊的計算機。

WannaCry瘋狂傳播目前已經(jīng)有240,000多臺計算機被勒索攻擊，WannaCry正是使用的SMB漏洞來攻擊和感染計算機。但是，WannaCry和EternalRocks之間存在不同之處，WannaCry只使用ETERNALBLUE和DOUBLEPULSAR這兩種NSA工具來感染計算機，而EternalRocks利用了NSA工具種的7種。
2、EternalRocks更復(fù)雜，但危險更小
研究員Stampar披露：作為一個蠕蟲，EternalRocks的危險性遠(yuǎn)不如WannaCry，因為它目前沒有綁定任何惡意軟件。但是并不意味著EternalRocks就很簡單，結(jié)果恰恰相反。EternalRocks比WannaCry的SMB蠕蟲組件更為復(fù)雜，因為EternalRocks對計算機的感染一共分為兩步，第一步執(zhí)行完后存在一個休眠期，休眠期結(jié)束后才會執(zhí)行第二步。
在第一步，EternalRocks感染計算機并獲得權(quán)限，然后下載Tor客戶端運行，然后向暗網(wǎng)中一個. Onion域名C＆C服務(wù)器發(fā)出請求。
經(jīng)過休眠期（目前為24小時），C＆C服務(wù)器才會做出響應(yīng)。休眠期的存在可能會繞過沙盒安全檢測，或者是安全研究者對蠕蟲的分析，所以推遲24小時C＆C服務(wù)器才做出響應(yīng)是非常有必要的。
3、無開關(guān)域名
另外，EternalRocks使用與WannaCry相同名稱的文件，目的是引導(dǎo)安全研究人員將其錯誤分類，擾亂逆向分析方向。
與WannaCry不同的是，EternalRocks并沒有使用“開關(guān)域名”， “開關(guān)域名”在 WannaCry傳播中起著至關(guān)重要的作用，以至于安全研究員在WannaCry傳播的時候發(fā)現(xiàn)“開關(guān)域名”的作用后，把域名注冊后WannaCry暫時停止傳播。
經(jīng)過24小時的休眠期，C＆C服務(wù)器開始響應(yīng)。EternalRocks開始進(jìn)入第二步，在第一步已感染主機上下載一個名為shadowbrokers.zip的壓縮包。shadowbrokers.zip文件目前不用過多介紹，安全從業(yè)者們也知道是做什么用的。接下來，EternalRocks便開始快速掃描IP并嘗試連接、感染。

0x02、利用EternalRocks進(jìn)行深入攻擊
由于EternalRocks利用的NSA工具多且無“開關(guān)域名”，同時存在一個休眠期。如果EternalRocks作者綁定一些勒索軟件、木馬、RAT或者其他的惡意軟件，那么EternalRocks可能會對公網(wǎng)上存在SMB漏洞的計算機構(gòu)成嚴(yán)重威脅。
目前來看，這個蠕蟲還在測試中，其作者正在測試蠕蟲未來可能具有威脅。并不意味著EternalRocks無殺傷力，EternalRocks作者可以通過C&C服務(wù)器對已感染的計算機發(fā)出指令，同時可以利用此隱藏的通信通道將新的惡意軟件發(fā)送到之前已被EternalRocks感染的計算機。
另外，NSA工具中具有后門功能的DOUBLEPULSAR同樣可以在已感染EternalRocks的計算機上運行，但是，EternalRocks作者沒有對已感染EternalRocks的計算機上的DOUBLEPULSA使用采取任何加密保護(hù)措施，DOUBLEPULSAR目前都是默認(rèn)配置。其他攻擊者也可以使用已感染EternalRocks的計算機中的后門，可以通過這個后門安裝新的惡意軟件到計算機中。更多詳細(xì)介紹可以去Stampar研究員的github 上查看：https://github.com/stamparm/EternalRocks/
0x03、免費的SMB
目前，黑客們已經(jīng)在掃描使用舊版本SMB協(xié)議的計算機，或者沒有為系統(tǒng)打補丁的計算機。WannaCry勒索軟件爆發(fā)后，管理員們高度關(guān)注，對存在漏洞的機器打補丁或者禁用舊版本SMB協(xié)議，這樣一來能被EternalRocks感染的機器數(shù)量正在慢慢減少。     
研究員Stampar說：管理員們越快為系統(tǒng)打上新補丁越好，但是如果EternalRocks在管理員打補丁之前就已經(jīng)感染，那么EternalRocks的控制者便可隨時發(fā)動的進(jìn)一步攻擊。