5月12日爆发的勒索病毒WannaCry短短几天就席卷全球100多个国家,造成英���国国家健康中心等众多机构和个人的30万台电脑中招,至今尚未找到彻底的解决办法,而现在又传来了一个不好的消息,比勒索病毒WannaCry更隐蔽危害也更大的新病�����毒永恒之石已被发现。
������ 最早发现永恒����之石这一病毒的是克罗地亚网络安全专家Miroslav Stampar,他是克罗地亚政府计算机应急准备小组的成员。
同此前爆发的勒索病毒WannaCry一样,此次发现的永恒之石病毒同样利用了美国国家安全局(NSA)泄漏的微软Windows系统漏洞,但勒索病毒WannaCry只利用了2个漏洞,而永恒之石则利用了7个漏洞,因而其危害远比勒������索病毒要大。
Stampar表示,永恒之石病毒的传播利用的是微软Windows Server ������Message Block,虽然微软在3月份的更新中就封堵了这一漏洞,但未升级的电脑还是很容易感染这一病毒。
据悉,永恒之石病毒的传播将分为两个阶段,第一个阶段将感染还未修复漏洞的电脑,并将相关组件植入感染的电脑中,在24个����小时的�������潜伏之后,这一病毒就将利用之前植入的组件进行更大范围的传播。
安全专家表示,永恒之石病毒在5月初就已经存在,也就是在勒索病毒爆�������发之前,只不过其一直处于传播过程中,尚未爆发,因而目前也不清楚到底有多少电脑已感染这一病毒。
2017年5月17日,克罗地亚安全专家(Miroslav Stampar)发现了一种基于类似WannaCry的蠕虫病毒,也是通过NSA武器库中的漏洞进行传播,他将此病毒命名为����EternalRocks,并发布�����到Twitter,如下图:
据国外媒体《财富》杂志2017年5月21日报道,EternalRocks影响了大量未安装补丁的Windows7主机,传播速度快,目前已经影响了24万主机。如下�����图:
1、事件时间轴
因NSA武器库泄漏引发了一系列安全事件,按时间顺序排列如下:
2、病毒组成及流程
Ete�����rnalrocks由7个攻击载荷组成,包括4个Windows漏洞利用程序、1个后门程序和2个漏洞�����扫描程序。
|
功能
|
模块名
|
漏洞编号
|
|
漏洞利用程序
|
Eternalblue
Eternalchampion
Eternalromance
Eternalsynergy
|
Microsoft Windows SMB 远程代码执行漏洞(MS17-010)
CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-0146
CVE-2017-0147
CVE-2017-0148
|
|
后门程序
|
Doublepulsar
|
|
|
扫描程序
|
Architouch、Smbtouch
|
|
上述提到的4个漏洞利用均利用了Windows系统 SMB 协议存在的漏洞,涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系统,微软已经发布官方安全补丁�������MS17-070,对漏洞进行了修复。
病毒工作流程如下:
-
利用SMB的侦察工具smbtouch和architouch扫描开放的SMB端口。
-
如果发现SMB端口,利用四个����漏洞的利用程序(eternalblue、、eternalchampion、eternalromance、etern�����alsynergy)通过网络感染受害主机。
-
感������染eternalrocks后,会下载Tor浏览器(能够访问暗网的浏览器,此网络可避免被追踪,使用常规浏览器无�����法访问)并下载.NET组件。
-
Tor会主动连接到一个暗网中的C&C服务器,连接服务器24小时后,会响应的C&C服务器并下载7个SMB漏洞������的攻击载荷,通过这种方式,可以躲避沙盒技术的检测。
-
感染完成后,EternalRocks蠕虫会继续扫描互联网的开放SMB端口,传播并感染其他主机。
3、病毒特点
EternalRocks利用了NSA武器库中的4个攻击程序,比WannaCry利用的数量多。
Etern�����alRocks并未像WannaCry对感染主机的文件进行加密并勒索������比特币,仅仅通过网络传播。
EternalRocks并未像WannaCry设置域名开关用于控制病毒传播。
Etern������alRocks会在被感染的主机上安装Doublepulsar后门,此后门被黑客利用,可以远程控制被感染主机。
EternalRocks感染主机后,会延迟24小时下载攻击载荷,目的在于拖延安全研究人员����的响应时间。
EternalRocks病毒处置流程如下:
1、检测
病毒感染主机后,会创建C:\Program Files\Microsoft Updates\目录,生成多个病毒文件,�������如下图:
进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,病毒会创建2个计划任务ServiceHos�����t和TaskHost,如下图:
在主机上发现以上特征,即可判断已经感染EternalRocks病毒。
管理员可使用漏洞扫描系统对网络内未安装补丁及中了Doublepulsar后门的主机进行远程检测
2、隔离
检测阶段发现的已感染病毒的主机应立即进行断网,避免病毒进一步在网络内扩散。
对于未安装MS17-010补丁的和存在Doublepulsar后门的主机,应立即封锁Windows SMB服务TCP 445端口,方法如���������下:
1)开始—控制面板—Window防火墙,点击左侧�������高级设置,点击左侧入站规则,再点击�����右侧新建规则创建防火墙入站规则:
2)在新建入站规则向导中,针对协议和端口步骤,选择对端口过滤。
3)选择TCP协议和特定本地端口:445
4)在操作步骤中,选择阻止连接。
5)在应用该规则处,勾选域、专用以及公用选项。
6)填入规则名称,完成创建。
7)规则创建完成后,可看到入站规则中存在445阻断规则。
另外,还可以直接禁用Server服务,如下:
1)点击开始菜单—运行,输入services.msc,进入服务管理器,找到server服务。
2)双击将启动类型修改为禁用,点击停止按钮,将服务状态修改为已停止。
重新启动主机即可彻底关闭TCP 445端口。
3、修复
1)进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序������库—Microsoft—Windows,删除计划任务ServiceHost�����和TaskHost。
2)停止以下进程。
C:\Program Files\Microsoft Updates\svchost.exe
C:\Program Files\Microsoft Updates\taskhost.exe
C:\Program Files\Microsoft Updates\torunzip.exe
3)删除C:\Program Files\Microsoft Updates\目录及其中所有文件。
下载并安装微软官方补丁:
//technet.micros������oft.com/��������zh-cn/library/security/ms17-010.aspx
管理员可使用安全防御设备对网络中的攻击报文和Doublepulsar后门连接报文进行阻断,防范病毒������进一步扩散,同时也可使用此方法监测网络中是否有病毒扩散,帮助管理员定位感染病毒的主机。
