近日，研究人員檢測出了一種新的蠕蟲正在通過SMB傳播，但與WannaCry勒索軟件的蠕蟲有所不同，這種蠕蟲病毒使用了7種NSA工具，而WannaCry僅使用了兩種，這是否意味著該蠕蟲將為全球網(wǎng)絡(luò)帶來更為嚴(yán)重的沖擊? 　　蠕蟲 　　據(jù)悉，該蠕蟲由安全研究人員Miroslav Stampar(克羅地亞政府CERT成員，以及用于檢測和利用SQL注入漏洞的sqlmap工具的開發(fā)者)于上周三(5月17日)在自己搭建的SMB蜜罐中發(fā)現(xiàn)。 　　EternalRocks使用了7種NSA工具 　　該蠕蟲被Stampar命名為“EternalRocks”(國內(nèi)廠商將其譯作“永恒之石”)，研究人員在一個樣本中發(fā)現(xiàn)了該蠕蟲的可執(zhí)行屬性，它通過使用6個圍繞SMB的NSA工具來感染網(wǎng)絡(luò)上暴露SMB端口的計(jì)算機(jī)。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4個NSA工具主要用于攻擊計(jì)算機(jī)設(shè)備上的SMB漏洞，而SMBTOUCH和ARCHITOUCH 是2個用于SMB漏洞掃描的NSA工具。 　　一旦該蠕蟲獲取了初步的立足點(diǎn)，那么它將使用另一個NSA工具——DOUBLEPULSAR來感染其他新的易受攻擊的計(jì)算機(jī)。 　　EternalRocks-properties.png 　　影響超過24萬受害者的WannaCry勒索軟件就是使用SMB漏洞來感染計(jì)算機(jī)設(shè)備，并將病毒傳播給新的受害者。 　　不過，與EternalRocks不同的是，WannaCry的SMB蠕蟲只使用了ETERNALBLUE和DOUBLEPULSAR兩種NSA工具，ETERNALBLUE用于初始攻擊，DOUBLEPULSAR用于將病毒傳播至新的設(shè)備上，而此次發(fā)現(xiàn)的EternalRocks如上所述卻包含7種NSA工具。 　　EternalRocks更復(fù)雜，但危險更小 　　作為蠕蟲，EternalRocks遠(yuǎn)不如WannaCry危險，因?yàn)樗壳安]有傳送任何惡意內(nèi)容。然而，這并不意味著EternalRocks就很簡單。據(jù)Stampar所言，實(shí)際情況恰恰相反。 　　對于初學(xué)者來說，EternalRocks比WannaCry的SMB蠕蟲組件更為復(fù)雜。一旦成功感染了受害者，該蠕蟲就會使用兩階段的安裝過程，且延遲第二階段。 　　在第一階段中，EternalRocks在感染的主機(jī)上獲得權(quán)限，隨后下載Tor客戶端，并將其指向位于暗網(wǎng)的一個. Onion域名C&C服務(wù)器上。 　　只有經(jīng)過預(yù)定義的休眠期(目前為24小時)，C&C服務(wù)器才會做出回應(yīng)。這種長時間的延遲很有可能幫助蠕蟲繞過沙盒安全檢測和安全研究人員的分析，因?yàn)楹苌儆腥藭ㄙM(fèi)整整一天的時間等待C&C服務(wù)器做出回應(yīng)。 　　此外，EternalRocks還使用了與WannaCry的SMB蠕蟲相同的文件名稱，這是另一個試圖愚弄安全研究人員將其錯誤分類的嘗試。 　　但是與WannaCry不同的是，EternalRocks并沒有“開關(guān)域名(kill switch)”。在 WannaCry中，安全研究人員正是利用該“開關(guān)域名”功能，成功阻止了WannaCry的傳播。 　　在初始休眠期到期后，C&C服務(wù)器便會做出響應(yīng)，EternalRocks也開始進(jìn)入第二階段的安裝過程，下載一個以shadowbrokers.zip命名的第二階段惡意軟件組件。

　　然后，EternalRocks便開始IP快速掃描過程，并嘗試連接到任意IP地址中。

　　由于EternalRocks利用了大量NSA工具，缺乏“開關(guān)域名”，且在兩個安裝過程間設(shè)置了休眠期，一旦EternalRocks開發(fā)者決定用勒索軟件、銀行木馬、RAT或其他任何東西來將其武器化，那么EternalRocks可能會對那些將脆弱的SMB端口暴露在網(wǎng)絡(luò)上的計(jì)算機(jī)構(gòu)成嚴(yán)重威脅。 　　初步看來，該蠕蟲似乎還在測試過程中，或是其開發(fā)者正在測試蠕蟲未來可能實(shí)現(xiàn)的威脅。 　　然而，這并不意味著EternalRocks是無害的。攻擊者可以通過C&C服務(wù)器對受此蠕蟲感染的計(jì)算機(jī)設(shè)備發(fā)出指令進(jìn)行控制，此外，蠕蟲的開發(fā)者還可以利用此隱藏的通信通道將新的惡意軟件發(fā)送到之前已被EternalRocks感染的計(jì)算機(jī)中。 　　此外，具有后門功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的計(jì)算機(jī)上運(yùn)行。不幸的是，EternalRocks的開發(fā)者并沒有采取任何措施來保護(hù)DOUBLEPULSAR，DOUBLEPULSAR目前在默認(rèn)無保護(hù)的狀態(tài)下運(yùn)行，這意味著，其他攻擊者也可以利用已經(jīng)感染了EternalRocks的計(jì)算機(jī)設(shè)備中的后門，并通過該后門安裝新的惡意軟件到計(jì)算機(jī)中。 　　有興趣可以前往github ，查看更多關(guān)于IOCs和蠕蟲感染過程的信息。 　　請注意SMB端口 　　目前，有很多攻擊者正在掃描運(yùn)行舊版和未修補(bǔ)版本SMB服務(wù)的計(jì)算機(jī)。系統(tǒng)管理員們也已經(jīng)注意到此事，并開始修復(fù)存在漏洞的計(jì)算機(jī)，或是禁用舊版的SMBv1 協(xié)議，從而逐漸減少被EternalRocks感染的機(jī)器數(shù)量。 　　此外，許多惡意軟件(如Adylkuzz)也紛紛關(guān)閉SMB端口，防止被其他威脅進(jìn)一步利用，此舉也有助于減少EternalRocks和其他SMB狩獵(SMB-hunting)惡意軟件的潛在目標(biāo)數(shù)量。Forcepoint、 Cyphort和Secdo的報告詳細(xì)介紹了目前針對具有SMB端口的計(jì)算機(jī)的其他威脅。 　　不管怎么說，系統(tǒng)管理員能夠越快為他們的系統(tǒng)打上補(bǔ)丁越好。Stampar表示， 　　“目前，該蠕蟲正在與系統(tǒng)管理員之間進(jìn)行一場時間競賽，如果它在管理員打補(bǔ)丁之前就成功感染計(jì)算機(jī)，那么其開發(fā)者便可以隨時將其武器化，組織進(jìn)一步攻擊行動，無礙于后期什么時候能打上補(bǔ)丁。”