Den nyligen upptäckta masken EternalRocks har ingen kill switch och är mycket smittsam. Den utnyttjar NSA:s läckta verktyg och kan snabbt beväpnas med ransomware, banktrojaner eller RAT:er.
Efter en mängd ransomware-attacker som orsakade förödelse över hela världen under de senaste 10 dagarna av WannaCry, en ny stam av skadlig programvara " EternalRocks” har identifierats av säkerhetsforskaren Miroslav Stampar. Det upptäcktes av honom i onsdags från ett prov på hans Windows 7 honungskruka, när det infekterades.
Dess ursprungliga namn är "MicroBotMassiveNet" och Stampar har döpt det till "DoomsDayWorm." EternalRocks listas som ett produktnamn under Taskhost-egenskaper.
EternalRocks sprids med hjälp av alla SMB-exploater i läckan, inklusive EternalBlue, som används av WannaCry i attacker. EternalRocks använder inte bara EternalBlue, den använder också EternalChampion, EternalRomance och EternalSynergy, såväl som ArchiTouch, SMBTouch och DoublePulsar kernel exploit.
EternalRocks är självreplikerande skadlig programvara, den innehåller mycket fler hot och är mer avskyvärd än WannaCry. Det sprids via flera SMB-sårbarheter (Server Message Block) och använder NSA-verktyg som kallas EtnernalBlue för att sprida sig från en dator till nästa genom Windows.
Se även: Hur man är säker från WannaCry och andra Ransomware-attacker
Få viktiga saker man bör veta om EternalRocks:
En honeypot är en datorsäkerhetsmekanism inrättad för att fungera som en fälla för att attrahera, upptäcka och avleda hackare som försöker till obehörig användning av informationssystem. Den identifierar skadliga aktiviteter som utförs över internet genom att medvetet engagera och lura cyberangripare.
Hur EternalRocks skiljer sig från Vill du gråta?
Även om EternalRo cks använder samma väg och svaghet för att infektera Windows-aktiverade system, det sägs vara mycket farligare, eftersom det förmodligen använder alla sju hackverktyg jämfört med WannaCry, som läckte från NSA.
WannaCry-malware, med bara två NSA-verktyg, orsakade katastrof genom att påverka 150 länder och över 2 40 000 maskiner över hela världen. Så vi kan föreställa oss vad EternalRocks kan göra eftersom det använder sju NSA-verktyg.
Den unika egenskapen med "DoomsDayWorm" är att den väntar tyst i en period av tjugofyra timmar innan den använder bakdörren för att ladda ner ytterligare skadlig programvara från kommando- och kontrollservern. Till skillnad från WannaCry ransomware, vars spridning stoppades på grund av en killswitch upptäckt av en säkerhetsbloggare.
Under det första steget installerar EternalRocks TOR som en C&C (Command-and-Control) kommunikationskanal. Det andra steget börjar efter 24 timmar när C&C-servern svarar med shadowbrokers.zip. Den packar sedan upp filen och startar en slumpmässig sökning efter öppen 445 SMB-port på internet.
Vad är TOR?
Programvara som sluter osynliga ögon eftersom de finns överallt
TOR är en programvara som låter användare surfa anonymt på webben. TOR kallades ursprungligen The Onion Router, eftersom den använder en teknik som kallas onion routing som används för att dölja information om användaraktivitet. TOR gör det svårare att spåra internetaktivitet genom att separera identifiering och routing, den krypterar data, inklusive IP-adressen.
Vad är C&C (Command-and-Control) kommunikationskanal?
strong>Kommando- och kontrollservrar även kallade C&C-servrar eller C2 är datorer som används av angripare för att upprätthålla kommunikation med komprometterade system inom ett målnätverk.
De sju NSA-verktygen läckt av ShadowBrokers som används av EternalRocks:
EternalBlue — SMB1- och SMB2-missbruk som används för att komma in på nätverket
EternalRomance — en fjärrexploaterad SMB1-nätverksfilserver som riktar sig till Windows XP , Server 2003, Vista, Windows 7, Windows 8, Server 2008 och Server 2008 R2
EternalChampion — SMBv2-exploateringsverktyg
EternalSynergy — en fjärrexekvering av kod mot SMB3 som potentiellt fungerar mot operativsystem.
Ovanstående fyra verktyg är utformade för att äventyra sårbara Windows-datorer.
SMBTouch — SMB-spaningsverktyg
ArchTouch — SMB-spaningsverktyg
Ovanstående 2 verktyg används för att skanna för öppna SMB-portar på det offentliga nätverket.
DoublePulsar — används för att installera ransomware
Hjälper till att sprida masken från en dator till en annan över samma nätverk.
WannaCry ransomware är inte den enda skadliga programvaran som använder EternalBlue eller bakdörren som DoublePulsar utnyttjar. En gruvarbetare för kryptovaluta känd som Adylkuzz präglar virtuella valutor på infekterade maskiner. En annan skadlig kod som sprids genom en liknande attackvektor är känd som UIWIX.
Det goda
Det finns inga rapporter om EternalRocks att ha blivit beväpnad. Ingen skadlig nyttolast – som ransomware rapporteras.
Den dåliga delen
Eftersom effekterna SMB-patchar appliceras vid ett senare tillfälle, kommer maskiner infekterade av EternalRocks masken lämnas fjärråtkomlig via verktyget DOUBLEPULSAR NSA. Den bakdörrstrojanska DOUBLEPULSAR-installationen som lämnats kvar av EternalRocks håller alltid dörren öppen för hackare.
Vad ska man göra för att vara säker från sådana attacker?
Blockera extern åtkomst till SMB-portar för allmänheten internet
- Lätta alla SMB-sårbarheter
- Blockera åtkomst till C&C-servrar och blockera åtkomst till Torproject.org
- Övervaka alla nyligen tillagda schemalagda uppgifter
- Uppdatera ditt Windows-operativsystem
- Installera och uppdatera ditt antivirus
- Installera eller aktivera systemets brandvägg för att upprätthålla en barriär mellan misstänkta länkar och ditt system
- Försök att undvika uppenbara inställningar och enkla lösenord. Prova att använda en kombination av alfabet och siffror. En kombination av stora och små bokstäver är också ett säkrare tillvägagångssätt.
Använd inte piratkopierade versioner av Windows, om du har en så är ditt system mer mottagligt för infektioner. Det är bäst att installera och använda en äkta version av Windows OS.
Läs: 0