Den nylig oppdagede ormen EternalRocks har ingen drepebryter og er svært smittsom. Den utnytter NSAs lekkede verktøy og kan raskt bevæpnes med løsepengevare, banktrojanere eller RAT-er.
Etter en rekke løsepengevare-angrep som har skapt kaos over hele verden de siste 10 dagene av WannaCry, en ny stamme av skadelig programvare “ EternalRocks» har blitt identifisert av sikkerhetsforsker Miroslav Stampar. Det ble oppdaget av ham på onsdag fra en prøve på hans Windows 7 honningpotte, da den ble infisert.
Det opprinnelige navnet er "MicroBotMassiveNet" og Stampar har kalt det "DoomsDayWorm." EternalRocks er oppført som et produktnavn under Taskhost-egenskaper.
EternalRocks sprer seg ved å bruke alle SMB-utnyttelsene i lekkasjen, inkludert EternalBlue, brukt av WannaCry i angrep. EternalRocks bruker ikke bare EternalBlue, den bruker også EternalChampion, EternalRomance og EternalSynergy, samt ArchiTouch, SMBTouch og DoublePulsar-kjerneutnyttelsen.
EternalRocks er selvreplikerende skadelig programvare, den inkluderer langt flere trusler og er mer avskyelig enn WannaCry. Den sprer seg via flere SMB-sårbarheter (Server Message Block) og bruker NSA-verktøy kjent som EtnernalBlue for å spre seg fra én datamaskin til den neste gjennom Windows.
Se også: Hvordan være trygg mot WannaCry og andre Ransomware-angrep
Få viktige ting man bør vite om EternalRocks:
En honeypot er en datasikkerhetsmekanisme satt opp for å fungere som en felle for å tiltrekke, oppdage og avlede hackere som forsøker på uautorisert bruk av informasjonssystemer. Den identifiserer ondsinnede aktiviteter utført over internett ved å med vilje engasjere og lure nettangripere.
Hvordan EternalRocks skiller seg fra Vil du gråte?
Selv om EternalRo cks bruker samme rute og svakhet for å infisere Windows-aktiverte systemer, det sies å være mye mer farlig, ettersom det visstnok bruker alle de syv hackingverktøyene sammenlignet med WannaCry, som ble lekket fra NSA.
WannaCry-malware, med bare to NSA-verktøy, forårsaket katastrofe ved å påvirke 150 land og over 2 40 000 maskiner over hele verden. Så vi kan forestille oss hva EternalRocks kan gjøre ettersom den bruker syv NSA-verktøy.
Den unike egenskapen til «DoomsDayWorm» er at den venter stille i en periode på tjuefire timer, før den bruker bakdøren til å laste ned ytterligere skadelig programvare fra kommando- og kontrollserveren. I motsetning til WannaCry-ransomware, hvis spredning ble stoppet på grunn av en killswitch oppdaget av en sikkerhetsblogger.
I den første fasen installerer EternalRocks TOR som en C&C (Command-and-Control) kommunikasjonskanal. Den andre fasen begynner etter at 24 timer har gått når C&C-serveren svarer med shadowbrokers.zip. Deretter pakker den ut filen og starter en tilfeldig skanning etter åpen 445 SMB-port på internett.
Hva er TOR?
Programvare som lukker usynlige øyne som de er overalt
TOR er en programvare som lar brukere surfe anonymt på nettet. TOR ble opprinnelig kalt The Onion Router, da den bruker en teknikk kalt onion routing som brukes til å skjule informasjon om brukeraktivitet. TOR gjør det vanskeligere å spore internettaktivitet ved å skille identifikasjon og ruting, den krypterer dataene, inkludert IP-adressen.
Hva er C&C (Command-and-Control) kommunikasjonskanal?
strong>Kommando- og kontrollservere også kalt C&C-servere eller C2 er datamaskiner som brukes av angripere for å holde kommunikasjonen med kompromitterte systemer innenfor et målnettverk.
De syv NSA-verktøyene lekket av ShadowBrokers brukt av EternalRocks:
EternalBlue — SMB1 og SMB2 utnyttelse brukt for å komme på nettverket
EternalRomance – en ekstern SMB1 nettverksfilserver utnyttelse rettet mot Windows XP , Server 2003, Vista, Windows 7, Windows 8, Server 2008 og Server 2008 R2
EternalChampion – SMBv2-utnyttingsverktøy
EternalSynergy – en ekstern kodeutførelse mot SMB3 som potensielt fungerer mot operativsystemer.
De 4 ovennevnte verktøyene er utviklet for å kompromittere de sårbare Windows-datamaskinene.
SMBTouch — SMB-rekognoseringsverktøy
ArchTouch — SMB-rekognoseringsverktøy
De to ovennevnte verktøyene brukes til å skanne for åpne SMB-porter på det offentlige nettverket.
DoublePulsar — brukes til å installere løsepengevaren
Hjelper med å spre ormen fra én datamaskin til en annen over det samme nettverket.
WannaCry løsepengevare er ikke den eneste skadevare som bruker EternalBlue eller bakdøren, DoublePulsar utnytter. En gruvearbeider for kryptovaluta kjent som Adylkuzz utformer virtuelle valutaer på infiserte maskiner. En annen skadelig programvare som sprer seg gjennom en lignende angrepsvektor er kjent som UIWIX.
Den gode delen
Det er ingen rapporter om EternalRocks å ha blitt bevæpnet. Ingen ondsinnet nyttelast – som løsepengevare er rapportert.
Den dårlige delen
Ettersom effektene SMB-patchene blir brukt på et senere tidspunkt, blir maskiner infisert av EternalRocks ormene etterlates eksternt tilgjengelige via DOUBLEPULSAR NSA-verktøyet. Bakdøren Trojan DOUBLEPULSAR-installasjonen etterlatt av EternalRocks holder alltid døren åpen for hackere.
Hva skal jeg gjøre for å være trygg mot slike angrep?
Blokker ekstern tilgang til SMB-porter på offentligheten internett
- Løs alle SMB-sårbarheter
- Blokkér tilgang til C&C-servere og blokker tilgang til Torproject.org
- Overvåk for eventuelle nylig lagt til planlagte oppgaver
- Oppdater Windows-operativsystemet
- Installer og oppdater antiviruset
- Installer eller aktiver brannmuren for å opprettholde en barriere mellom mistenkelige koblinger og systemet ditt
- Prøv å unngå åpenbare innstillinger og enkle passord. Prøv å bruke en kombinasjon av alfabeter og tall. En kombinasjon av store og små bokstaver er også en tryggere tilnærming.
Ikke bruk piratkopierte versjoner av Windows, hvis du har en, er systemet ditt mer utsatt for infeksjon. Det er best å installere og bruke en ekte versjon av Windows OS.
Les: 0
