最新SMB殭屍網路利用了7個NSA工具，而WannaCry只用了兩個……

新聞 05-26

近日，研究人員檢測出了一種新的蠕蟲正在通過SMB傳播，但與WannaCry勒索軟體的蠕蟲有所不同，這種蠕蟲病毒使用了7種NSA工具，而WannaCry僅使用了兩種，這是否意味著該蠕蟲將為全球網路帶來更為嚴重的衝擊？

據悉，該蠕蟲由安全研究人員

Miroslav Stampar

（克羅埃西亞政府CERT成員，以及用於檢測和利用SQL注入漏洞的sqlmap工具的開發者）於上周三（5月17日）在自己搭建的SMB蜜罐中發現。

EternalRocks使用了7種NSA工具

該蠕蟲被Stampar命名為「EternalRocks」，研究人員在一個樣本中發現了該蠕蟲的可執行屬性，它通過使用6個以SMB為中心的NSA工具來感染網路上暴露SMB埠的計算機。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4個NSA工具主要用於攻擊脆弱計算機設備上的SMB漏洞，而SMBTOUCH和ARCHITOUCH 是2個用於SMB漏洞掃描的NSA工具。

一旦該蠕蟲獲取了初步的立足點，那麼它將使用另一個NSA工具——DOUBLEPULSAR來感染其他新的易受攻擊的計算機。

影響超過24萬受害者的WannaCry勒索軟體也是使用SMB漏洞來感染計算機設備，並將病毒傳播給新的受害者。

不過，與EternalRocks不同的是，WannaCry的SMB蠕蟲只使用了ETERNALBLUE和DOUBLEPULSAR兩種NSA工具，ETERNALBLUE用於初始攻擊，DOUBLEPULSAR用於將病毒傳播至新的設備上，而此次發現的EternalRocks卻包含7種NSA工具。

EternalRocks更複雜，但危險更小

作為蠕蟲，EternalRocks遠不如WannaCry危險，因為它目前並沒有傳送任何惡意內容。然而，這並不意味著EternalRocks就很簡單。據Stampar所言，實際情況恰恰相反。

對於初學者來說，EternalRocks比WannaCry的SMB蠕蟲組件更為複雜。一旦成功感染了受害者，該蠕蟲就會使用兩階段的安裝過程，且延遲第二階段。

在第一階段中，EternalRocks在感染的主機上獲得許可權，隨後下載Tor客戶端，並將其指向位於暗網的一個. Onion域名C＆C伺服器上。

只有經過預定義的休眠期（目前為24小時），C＆C伺服器才會做出回應。這種長時間的延遲很有可能幫助蠕蟲繞過沙盒安全檢測和安全研究人員的分析，因為很少有人會花費整整一天的時間等待C＆C伺服器做出回應。

沒有開關（kill switch）域名

此外，EternalRocks還使用了與WannaCry的SMB蠕蟲相同的文件名稱，這是另一個試圖愚弄安全研究人員將其錯誤分類的嘗試。

但是與WannaCry不同的是，EternalRocks並沒有「開關域名（kill switch）」。在 WannaCry中，安全研究人員正是利用該「開關域名」功能，成功阻止了WannaCry的傳播。

在初始休眠期到期後，C＆C伺服器便會做出響應，EternalRocks也開始進入第二階段的安裝過程，下載一個以shadowbrokers.zip命名的第二階段惡意軟體組件。

然後，EternalRocks便開始IP快速掃描過程，並嘗試連接到任意IP地址中。

EternalRocks可以隨時實現武器化

由於EternalRocks利用了大量NSA工具，缺乏「開關域名」，且在兩個安裝過程間設置了休眠期，一旦EternalRocks開發者決定用勒索軟體、銀行木馬、RAT或其他任何東西來將其武器化，那麼EternalRocks可能會對那些將脆弱的SMB埠暴露在網路上的計算機構成嚴重威脅。

初步看來，該蠕蟲似乎還在測試過程中，或是其開發者正在測試蠕蟲未來可能實現的威脅。

然而，這並不意味著EternalRocks是無害的。攻擊者可以通過C&C伺服器對受此蠕蟲感染的計算機設備發出指令進行控制，此外，蠕蟲的開發者還可以利用此隱藏的通信通道將新的惡意軟體發送到之前已被EternalRocks感染的計算機中。

此外，具有後門功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的計算機上運行。不幸的是，EternalRocks的開發者並沒有採取任何措施來保護DOUBLEPULSAR，DOUBLEPULSAR目前在默認無保護的狀態下運行，這意味著，其他攻擊者也可以利用已經感染了EternalRocks的計算機設備中的後門，並通過該後門安裝新的惡意軟體到計算機中。

有興趣可以前往github ，查看更多關於IOCs和蠕蟲感染過程的信息。

一個免費的 SMB

目前，有很多攻擊者正在掃描運行舊版和未修補版本SMB服務的計算機。系統管理員們也已經注意到此事，並開始修復存在漏洞的計算機，或是禁用舊版的SMBv1 協議，從而逐漸減少被EternalRocks感染的機器數量。

此外，惡意軟體（如Adylkuzz）也開始關閉SMB埠，防止被其他威脅進一步利用，此舉也有助於減少EternalRocks和其他SMB狩獵（SMB-hunting）惡意軟體的潛在目標數量。Forcepoint、Cyphort和Secdo的報告詳細介紹了目前針對具有SMB埠的計算機的其他威脅。

不管怎麼說，系統管理員能夠越快為他們的系統打上補丁越好。Stampar表示，

「目前，該蠕蟲正在與系統管理員之間進行一場時間競賽，如果它在管理員打補丁之前就成功感染計算機，那麼其開發者便可以隨時將其武器化，組織進一步攻擊行動，無礙於後期什麼時候能打上補丁。」

*參考來源：bleepingcomputer，米雪兒編譯，轉載請註明來自FreeBuf.COM