新蠕蟲「永恆之石」來勢洶洶：利用NSA七大黑客工具

E安全5月23日WannaCry勒索病毒餘波未平，如今又出現了更變本加厲的EternalRocks（「永恆之石」）新病毒，永恆之石來勢洶洶，竟利用了7個NSA漏洞利用。

根據GitHub上的介紹，「永恆之石」是2017年5月上旬浮出水面的一款網路蠕蟲（自我複製蠕蟲），目前已知最早的樣本為5月3日的：fc75410aa8f76154f5ae8fe035b9a13c76f6e132077346101a0d673ed9f3a0dd。

這款蠕蟲通過公開的（影子經紀人泄露的NSA工具）SMB漏洞利用（ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY）及相關應用程序（DOUBLEPULSAR、ARCHITOUCH和SMBTOUCH）進行傳播。

E安全官網

「永恆之石」與WannaCry有什麼關聯？

永恆之石蠕蟲利用伺服器信息塊（SMB）共享網路協議中的漏洞，去感染未修復的Windows系統。與WannaCry不同的是，「永恆之石」不會捆綁破壞性的惡意軟體的有效載荷（至少現在不會）。這款病毒不具有「Kill Switch」功能，因此無法被輕易阻止。

WannaCry會提醒受害者遭遇了勒索病毒感染，而「永恆之石」會安靜、隱藏地待在受害者的電腦中。一旦進入電腦，「永恆之石」會下載Tor個人瀏覽器（可用來匿名瀏覽網頁和發送郵件），並向這款蠕蟲的隱藏伺服器發送信號。之後，「永恆之石」在接下來的24個小時內不會有任何動作，它會靜靜等待直到伺服器響應，開始下載並自我複製。這就意味著，安全專家想要獲取該蠕蟲病毒的更多信息來研究，將會滯後一天。

E安全官網

安全公司Plixer CEO邁克爾·帕特森稱，這款病毒甚至「自稱」WannaCry，試圖向安全研究人員隱藏身份。

根據研究人員對永恆之石的早期分析顯示，這款病毒利用了7個NSA黑客工具，而WannaCry僅僅部署了兩個漏洞進行擴散。

Vectra Networks歐洲、中東和非洲（EMEA）總監馬特·沃姆斯利評論稱，永恆之石是WannaCry群體扔出第二個「重磅」炸彈，因為「永恆之石」更黑暗、更精鍊，除了針對的目標群體相同。

在未被發現的情況下，「永恆之石」可以使用SBM文件共享協議，快速傳遍互聯網和私有網路，迅速感染未打補丁的系統，並且，不依賴用戶點擊網路釣魚電子郵件進行鏈接。

「永恆之石」更多詳情見：E安全官網

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！