Eternalrocks Worm结合了七个泄露的NSA攻击工具
ETERENALROCKS是一种使用四个服务器消息块(SMB)的蠕虫,由美国国家安全局(NSA)开发的三个其他攻击工具(NSA),并由影子经纪人黑客集团泄露。
虽然它仍然是武器,但安全专家担心埃塞勒罗克,也称为Microbotmassivenet,可能比Wannacry产生更大的影响,一旦武器化。
最关心的是,云端的攻击可以在云中更快地传播,许多组织没有能力的工作负载或网络流量。
Eternalrocks被Miroslav Stampar发现并命名,安全研究员和克罗地亚政府的计算机应急响应团队(CERT)的成员,他在他运行的Windows 7蜜罐中捕获了蠕虫的样本。
蠕虫的发现证实了猜测卫生可能是基于泄漏的NSA利用的许多其他攻击中的第一次攻击中的第一次。
自2017年5月3日以来,攻击遭到攻击已居住,该攻击预先追溯到使用EternalBlue NSA Exploit的Wannacry Ransomware的传播。
根据Stampar的GitHub帖子,Eternalrocks通过NSA SMB剥削EternalBlue,Eternalchampion,Eternalromance和Eternalsynergy,以及相关的攻击工具DoublePulsar,Architouch和Smbtouch。
Stampar表示,ETERENALROCKS目前没有有效载荷或恶意组件,而是使用在24小时内完成的两级过程来自行传播。
第一阶段感染运行Windows操作系统的易受攻击的计算机,该计算机未被修补以修复MS17-010漏洞,该漏洞也被Wannacry利用。
此阶段还下载了一些.NET组件并删除用于下载和运行Tor匿名Web浏览器的可执行文件以及命令和控制(C2)通信。
在第二阶段,Tor浏览器用于在24小时后从.onion域下载另一个可执行文件,反过来又下载NSA漏洞。
安全评论员表示,24小时暂停可能旨在逃避分析和击败沙箱技术,旨在隔离任何似乎恶意或异常的活动。
然后,蠕虫在Internet上启动Onterned 445(SMB)端口的随机扫描,同时运行包含的漏洞利用并通过有效载荷推送第一级恶意软件。
安全评论员称,尽管ETERNALROCKS尚未表现出任何恶意活动,但它似乎旨在建立一个使用NSA漏洞的未来攻击的Launchad。
瓦伦Badhwar,CEO和安全公司Redlock的联合创始人表示,只有具有强大的网络知名度和监控工具的组织将能够自动检测和阻止非标准端口上的网络流量,如445和8333,已用于启动Wannacry,Eternalrocks等攻击等攻击。
“Eternalrocks攻击正在互联网上推出,因此罪魁祸首是在这些端口上打开的机器扫描,这是非标准的,”Badhwar说。
“随着越来越多的企业将其IT基础架构移动到云端,确保基础设施至关重要,现实是传统安全解决方案只是不削减它。”
根据Badhwar的说法,组织需要查找可以跟上云的变化率的云原生方法,并使他们能够在几小时内迅速调查,而不是今天或多年的安全事件。 。
“每个人都必须在假设他们将在某些日子遭到破坏,并提前为这些情景做好准备,”他说。“今天的新兴技术使公司能够在云环境中获得这种全体知名度和安全控制。”
根据Sophos Noked Security博客帖子,对Microsoft漏洞防止恶意软件的最佳建议是留在所有修补程序版本中,并快速应用它们,如果有可能使用最新版本更换旧的Windows系统。