近日，研究人員檢測(cè)出了一種新的蠕蟲(chóng)正在通過(guò)SMB傳播，但與WannaCry勒索軟件的蠕蟲(chóng)有所不同，這種蠕蟲(chóng)病毒使用了7種NSA工具，而WannaCry僅使用了兩種，這是否意味著該蠕蟲(chóng)將為全球網(wǎng)絡(luò)帶來(lái)更為嚴(yán)重的沖擊？
據(jù)悉，該蠕蟲(chóng)由安全研究人員Miroslav Stampar（克羅地亞政府CERT成員，以及用于檢測(cè)和利用SQL注入漏洞的sqlmap工具的開(kāi)發(fā)者）于上周三（5月17日）在自己搭建的SMB蜜罐中發(fā)現(xiàn)。
EternalRocks使用了7種NSA工具
該蠕蟲(chóng)被Stampar命名為“EternalRocks”（國(guó)內(nèi)廠(chǎng)商將其譯作“永恒之石”），研究人員在一個(gè)樣本中發(fā)現(xiàn)了該蠕蟲(chóng)的可執(zhí)行屬性，它通過(guò)使用6個(gè)圍繞SMB的NSA工具來(lái)感染網(wǎng)絡(luò)上暴露SMB端口的計(jì)算機(jī)。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4個(gè)NSA工具主要用于攻擊計(jì)算機(jī)設(shè)備上的SMB漏洞，而SMBTOUCH和ARCHITOUCH 是2個(gè)用于SMB漏洞掃描的NSA工具。
一旦該蠕蟲(chóng)獲取了初步的立足點(diǎn)，那么它將使用另一個(gè)NSA工具——DOUBLEPULSAR來(lái)感染其他新的易受攻擊的計(jì)算機(jī)。
 

影響超過(guò)24萬(wàn)受害者的WannaCry勒索軟件就是使用SMB漏洞來(lái)感染計(jì)算機(jī)設(shè)備，并將病毒傳播給新的受害者。
不過(guò)，與EternalRocks不同的是，WannaCry的SMB蠕蟲(chóng)只使用了ETERNALBLUE和DOUBLEPULSAR兩種NSA工具，ETERNALBLUE用于初始攻擊，DOUBLEPULSAR用于將病毒傳播至新的設(shè)備上，而此次發(fā)現(xiàn)的EternalRocks如上所述卻包含7種NSA工具。
EternalRocks更復(fù)雜，但危險(xiǎn)更小 
作為蠕蟲(chóng)，EternalRocks遠(yuǎn)不如WannaCry危險(xiǎn)，因?yàn)樗�目前并沒(méi)有傳送任何惡意內(nèi)容。然而，這并不意味著EternalRocks就很簡(jiǎn)單。據(jù)Stampar所言，實(shí)際情況恰恰相反。
對(duì)于初學(xué)者來(lái)說(shuō)，EternalRocks比WannaCry的SMB蠕蟲(chóng)組件更為復(fù)雜。一旦成功感染了受害者，該蠕蟲(chóng)就會(huì)使用兩階段的安裝過(guò)程，且延遲第二階段。
在第一階段中，EternalRocks在感染的主機(jī)上獲得權(quán)限，隨后下載Tor客戶(hù)端，并將其指向位于暗網(wǎng)的一個(gè). Onion域名C＆C服務(wù)器上。
只有經(jīng)過(guò)預(yù)定義的休眠期（目前為24小時(shí)），C＆C服務(wù)器才會(huì)做出回應(yīng)。這種長(zhǎng)時(shí)間的延遲很有可能幫助蠕蟲(chóng)繞過(guò)沙盒安全檢測(cè)和安全研究人員的分析，因?yàn)楹苌儆腥藭?huì)花費(fèi)整整一天的時(shí)間等待C＆C服務(wù)器做出回應(yīng)。
沒(méi)有開(kāi)關(guān)（kill switch）域名
此外，EternalRocks還使用了與WannaCry的SMB蠕蟲(chóng)相同的文件名稱(chēng)，這是另一個(gè)試圖愚弄安全研究人員將其錯(cuò)誤分類(lèi)的嘗試。
但是與WannaCry不同的是，EternalRocks并沒(méi)有“開(kāi)關(guān)域名（kill switch）”。在 WannaCry中，安全研究人員正是利用該“開(kāi)關(guān)域名”功能，成功阻止了WannaCry的傳播。
在初始休眠期到期后，C＆C服務(wù)器便會(huì)做出響應(yīng)，EternalRocks也開(kāi)始進(jìn)入第二階段的安裝過(guò)程，下載一個(gè)以shadowbrokers.zip命名的第二階段惡意軟件組件。
然后，EternalRocks便開(kāi)始IP快速掃描過(guò)程，并嘗試連接到任意IP地址中。
 

EternalRocks可以隨時(shí)實(shí)現(xiàn)武器化
由于EternalRocks利用了大量NSA工具，缺乏“開(kāi)關(guān)域名”，且在兩個(gè)安裝過(guò)程間設(shè)置了休眠期，一旦EternalRocks開(kāi)發(fā)者決定用勒索軟件、銀行木馬、RAT或其他任何東西來(lái)將其武器化，那么EternalRocks可能會(huì)對(duì)那些將脆弱的SMB端口暴露在網(wǎng)絡(luò)上的計(jì)算機(jī)構(gòu)成嚴(yán)重威脅。
初步看來(lái)，該蠕蟲(chóng)似乎還在測(cè)試過(guò)程中，或是其開(kāi)發(fā)者正在測(cè)試蠕蟲(chóng)未來(lái)可能實(shí)現(xiàn)的威脅。
然而，這并不意味著EternalRocks是無(wú)害的。攻擊者可以通過(guò)C&C服務(wù)器對(duì)受此蠕蟲(chóng)感染的計(jì)算機(jī)設(shè)備發(fā)出指令進(jìn)行控制，此外，蠕蟲(chóng)的開(kāi)發(fā)者還可以利用此隱藏的通信通道將新的惡意軟件發(fā)送到之前已被EternalRocks感染的計(jì)算機(jī)中。
此外，具有后門(mén)功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的計(jì)算機(jī)上運(yùn)行。不幸的是，EternalRocks的開(kāi)發(fā)者并沒(méi)有采取任何措施來(lái)保護(hù)DOUBLEPULSAR，DOUBLEPULSAR目前在默認(rèn)無(wú)保護(hù)的狀態(tài)下運(yùn)行，這意味著，其他攻擊者也可以利用已經(jīng)感染了EternalRocks的計(jì)算機(jī)設(shè)備中的后門(mén)，并通過(guò)該后門(mén)安裝新的惡意軟件到計(jì)算機(jī)中。
有興趣可以前往github ，查看更多關(guān)于IOCs和蠕蟲(chóng)感染過(guò)程的信息。
請(qǐng)注意SMB端口
目前，有很多攻擊者正在掃描運(yùn)行舊版和未修補(bǔ)版本SMB服務(wù)的計(jì)算機(jī)。系統(tǒng)管理員們也已經(jīng)注意到此事，并開(kāi)始修復(fù)存在漏洞的計(jì)算機(jī)，或是禁用舊版的SMBv1 協(xié)議，從而逐漸減少被EternalRocks感染的機(jī)器數(shù)量。 
此外，許多惡意軟件（如Adylkuzz）也紛紛關(guān)閉SMB端口，防止被其他威脅進(jìn)一步利用，此舉也有助于減少EternalRocks和其他SMB狩獵（SMB-hunting）惡意軟件的潛在目標(biāo)數(shù)量。Forcepoint、 Cyphort和Secdo的報(bào)告詳細(xì)介紹了目前針對(duì)具有SMB端口的計(jì)算機(jī)的其他威脅。
不管怎么說(shuō)，系統(tǒng)管理員能夠越快為他們的系統(tǒng)打上補(bǔ)丁越好。Stampar表示，
“目前，該蠕蟲(chóng)正在與系統(tǒng)管理員之間進(jìn)行一場(chǎng)時(shí)間競(jìng)賽，如果它在管理員打補(bǔ)丁之前就成功感染計(jì)算機(jī)，那么其開(kāi)發(fā)者便可以隨時(shí)將其武器化，組織進(jìn)一步攻擊行動(dòng)，無(wú)礙于后期什么時(shí)候能打上補(bǔ)丁。”