Недавно обнаруженный червь EternalRocks не имеет аварийного отключения и очень заразен. Он использует просочившиеся инструменты АНБ и может быть быстро превращен в оружие с помощью программ-вымогателей, банковских троянов или RAT.
После множества атак программ-вымогателей, которые за последние 10 дней сеяли хаос во всем мире со стороны WannaCry, нового штамма вредоносного ПО « EternalRocks» был обнаружен исследователем безопасности Мирославом Стампаром. Он был обнаружен им в среду из образца в своей приманке Windows 7, когда тот был заражен.
Его первоначальное имя — «MicroBotMassiveNet», а Stampar назвал его «DoomsDayWorm». EternalRocks указан как название продукта в свойствах Taskhost.
EternalRocks распространяется с использованием всех эксплойтов SMB, упомянутых в утечке, включая EternalBlue, используемый WannaCry в атаках. EternalRocks не только использует EternalBlue, но также использует EternalChampion, EternalRomance и EternalSynergy, а также ArchiTouch, SMBTouch и эксплойт ядра DoublePulsar.
EternalRocks — это самовоспроизводящееся вредоносное ПО, оно включает в себя гораздо больше угроз и более отвратительный, чем WannaCry. Он распространяется через несколько уязвимостей SMB (блок сообщений сервера) и использует инструмент АНБ, известный как EtnernalBlue, для распространения от одного компьютера к другому через Windows.
См. также: Как защититься от WannaCry и других атак программ-вымогателей
Несколько важных вещей, которые следует знать о EternalRocks:
Приманка – это механизм компьютерной безопасности, созданный в качестве ловушки для привлечения, обнаружения и отражения хакеров, пытающихся несанкционированно использовать информационные системы. Он выявляет вредоносные действия, совершаемые через Интернет путем целенаправленного привлечения и обмана киберзлоумышленников.
Чем EternalRocks отличается от >WannaCry?
Хотя EternalRo cks использует тот же маршрут и уязвимость для заражения систем под управлением Windows. Говорят, что он гораздо более опасен, поскольку предположительно использует все семь хакерских инструментов по сравнению с WannaCry, утечка которых произошла из АНБ.
Вредоносное ПО WannaCry с помощью всего двух инструментов АНБ вызвало катастрофу, затронув 150 стран и более 2 40 000 компьютеров по всему миру. Итак, мы можем представить, на что способен EternalRocks, используя семь инструментов АНБ.
Уникальная особенность «DoomsDayWorm» заключается в том, что он молча ждет в течение двадцати четырех часов, прежде чем использовать бэкдор для загрузки дополнительных вредоносное ПО с сервера управления и контроля. В отличие от программы-вымогателя WannaCry, распространение которой было остановлено из-за аварийного выключателя, обнаруженного блогером по безопасности.
На первом этапе EternalRocks устанавливает TOR в качестве канала связи C&C (Command-and-Control). Второй этап начинается по прошествии 24 часов, когда C&C-сервер отправляет в ответ файл Shadowbrokers.zip. Затем он распаковывает файл и запускает случайное сканирование на наличие открытого SMB-порта 445 в Интернете.
Что такое TOR?
Программное обеспечение, которое закрывает невидимые глаза, поскольку они повсюду
TOR — это программное обеспечение, которое позволяет пользователям анонимно просматривать веб-страницы. Первоначально TOR назывался The Onion Router, поскольку он использует метод луковой маршрутизации, используемый для сокрытия информации о активности пользователя. TOR затрудняет отслеживание интернет-активности, разделяя идентификацию и маршрутизацию, а также шифрует данные, включая IP-адрес.
Что такое канал связи C&C (управления и контроля)?
Что такое канал связи C&C (Command-and-Control)?
Серверы управления и контроля, также называемые C&C-серверами или C2, — это компьютеры, используемые злоумышленниками для поддержания связи со скомпрометированными системами в целевой сети.
Семь инструментов АНБ утечка данных ShadowBrokers, используемых EternalRocks:
EternalBlue — эксплойт SMB1 и SMB2, используемый для проникновения в сеть
EternalRomance — эксплойт удаленного сетевого файлового сервера SMB1, нацеленный на Windows XP , Server 2003, Vista, Windows 7, Windows 8, Server 2008 и Server 2008 R2
EternalChampion — инструмент для использования SMBv2
EternalSynergy — эксплойт для удаленного выполнения кода против SMB3, который потенциально работает против операционных систем.
Вышеуказанные 4 инструмента предназначены для взлома уязвимых компьютеров Windows.
SMBTouch — инструмент разведки SMB
ArchTouch — инструмент разведки SMB
ArchTouch — инструмент разведки SMB
Вышеуказанные 2 инструмента используются для сканирования для открытых портов SMB в общедоступной сети.
DoublePulsar — используется для установки программы-вымогателя
Помогает распространять червя с одного компьютера на другой в одной сети.
Вымогатель WannaCry — не единственное вредоносное ПО, использующее EternalBlue или бэкдор DoublePulsar. майнер криптовалюты, известный как Adylkuzz , чеканит виртуальную валюту на зараженных машинах. Другая вредоносная программа, распространяющаяся по аналогичному вектору атаки, известна как UIWIX.
Хорошая часть
Сообщений о EternalRocks нет. быть вооруженным. Никакой вредоносной нагрузки – например, о программах-вымогателях не сообщается.
Плохая часть
Поскольку в результате исправления SMB применяются позже, машины, зараженные EternalRocks червя остаются удаленно доступными с помощью инструмента DOUBLEPULSAR АНБ. Бэкдор-троянец DOUBLEPULSAR, оставленный EternalRocks, всегда держит дверь открытой для хакеров.
Что делать, чтобы обезопасить себя от таких атак?
Заблокировать внешний доступ к портам SMB в публичном доступе интернет
- Исправьте все уязвимости SMB
- Блокируйте доступ к командным серверам и заблокируйте доступ к Torproject.org
- Отслеживайте любые новые добавленные запланированные задачи
- Обновите ОС Windows.
- Установите и обновите антивирус.
- Установите или активируйте системный брандмауэр, чтобы поддерживать барьер между подозрительными ссылками и вашей системой.
- Старайтесь избегать очевидных настроек и простых паролей. Попробуйте использовать комбинацию букв и цифр. Комбинация прописных и строчных букв также является более безопасным подходом.
Не используйте пиратские версии Windows, если они у вас есть, ваша система более восприимчива к заражению. Лучше всего установить и использовать подлинную версию ОС Windows.
Читать: 0
