CNNVD关于“永恒之石”病毒的预警报告

CNNVD关于“永恒之石”病毒的预警报告

  近日,国家信息安全漏洞库(CNNVD)收到关于“永恒之石”(EternalRocks)病毒的分析报告。该病毒与不久前广泛传播的“WannaCry”勒索病毒类似,均利用了今年 4 月方程式组织泄露的漏洞利用工具进行传播。“永恒之石”感染存在漏洞的主机之后,会潜伏下来,等待远程C&C(命令与控制)服务器的指令,比“WannaCry”病毒更加隐蔽,不易察觉。

  国家信息安全漏洞库(CNNVD)对此进行了分析研究,情况如下:

  一、“永恒之石”背景

  “永恒之石”最早由克罗地亚安全专家 Miroslav Stampar 发现和命名,并在 5 月 17 日通过推特发布相关信息。

CNNVD关于“永恒之石”病毒的预警报告

  “永恒之石”主要借鉴了 7 款针对微软 Windows 系统漏洞的利用工具进行传播扩散(见表1)。2017 年 4 月 14 日,黑客组织 Shadow Brokers(影子经纪人)公布了黑客组织 Equation Group(方程式组织)的部分泄露文件,其中即包括上述 7 款漏洞利用工具。

CNNVD关于“永恒之石”病毒的预警报告

表1:“永恒之石”漏洞利用工具列表 

  二、“永恒之石”技术特点及危害

  (一)技术特点

  “永恒之石”扫描 SMB 端口,利用 Windows 操作系统在 445 端口的安全漏洞(CNNVD-201703-721 ~ CNNVD-201703-726)通过网络感染受害主机,进而使其主动下载 Tor 浏览器并与暗网中的C&C服务器建立通信,连接服务器 24 小时后,可在躲避沙盒技术检测的情况下,主动下载相关漏洞利用工具,进而感染其他主机。同时该病毒会从C&C服务器接收其他指令,可能进行其他攻击。

a)“永恒之石”利用了方程式组织泄露的 7 个利用工具,与“WannaCry”相比更为复杂;

b)“永恒之石”仅通过网络进行传播扩散,而“WannaCry”对感染主机的文件进行难以破解的加密,并勒索比特币;

c)“永恒之石”并未像“WannaCry”一样,设置域名开关用于控制病毒传播;

d)“永恒之石”会在被感染的主机上安装后门,远程攻击者可利用该后门控制被感染主机;

e)“永恒之石”感染主机后,会延迟 24 小时下载攻击工具,目的在于拖延安全研究人员的响应时间

  (二)潜在危害

  a)“永恒之石”经过预定义的休眠期(目前为 24 小时),C&C服务器才会做出回应,不易被安全检测沙盒和安全研究人员发现;

  b)攻击者可以通过C&C服务器对受此“永恒之石”感染的计算机设备发出指令进行控制,并将新的恶意软件发送到已被感染的主机中。

  c)与“WannaCry”相比,“永恒之石”虽尚未造成严重的危害,但若攻击者将“永恒之石”与勒索软件、木马等绑定,将可能对存在漏洞的主机造成严重的威胁。

  d)如今尚未出现爆发大规模感染的情况,但结合“WannaCry”对内网的破坏情况可知,内网蔓延的隐患仍然存在。

  三、处置建议

  1、个人用户采取应急措施,安装漏洞修复补丁。“永恒之石”利用了与“WannaCry”勒索蠕虫相同的微软安全漏洞,请个人用户及时检查安装 MS17-010 修复补丁,补丁链接如下:

  https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

  与此同时,及时采取临时解决方案,一是关闭计算机的 445 端口和 135、137、138、139 等不必要开放的端口;二是配置主机级 ACL 策略封堵 445 端口;三是打开“Windows 防火墙”,进入“高级设置”,在入站规则中禁用“文件和打印机共享”相关规则。

  2、网络管理员修改网络配置,监控网络接口。建议各网络管理员在网络防火墙上配置相关策略,限制外部对 445 端口的访问,加强内网审计。同时在接入交换机或核心交换机抓包,查看是否存在大量扫描内网 139、135、445 端口的网络行为,及时定位扫描发起点,对扫描设备进行病毒查杀,一旦发现被感染主机,立即断网防止进一步扩散。

  3、日常使用规范。在日常计算机使用过程中,对重要信息数据定期及时进行备份;浏览网页和使用电子邮件的过程中,切勿随意点击可以链接地址;及时更新操作系统及相关软件版本,实时安装公开发布的漏洞修复补丁。 

  本文作者:CNNVD(政企帐号),本通报由 CNNVD 技术支撑单位——亚信科技(成都)有限公司、杭州安恒信息技术有限公司、北京神州绿盟科技有限公司提供支持。

  CNNVD 将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与 CNNVD 联系。联系方式: cnnvd@itsec.gov.cn

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » CNNVD关于“永恒之石”病毒的预警报告

赞 (0)
分享到:更多 ()

评论 2

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. WordPress头条又有新病毒!!!回复