当前位置： && 知识详情
【资讯】永恒之蓝进阶版本来袭——永恒之石（集成7个漏洞）
阅读：17905次
翻译：预估稿费：130RMB投稿方式：发送邮件至，或登陆网页版在线投稿在WannaCry疯狂传播的尾声，上周三（5.17）安全研究员Miroslav Stampar（克罗地亚政府CERT成员、Sqlmap的创造者之一）在他搭建的SMB蜜罐中，发现新的蠕虫正在通过SMB漏洞传播。研究员Stampar的蜜罐中捕获的不是WannaCry，而是一种利用7种NSA工具新的蠕虫。0x01、EternalRocks特点1、EternalRocks利用7种NSA工具研究员Stampar把这款新的蠕虫命名为EternalRocks，他在蠕虫程序中发现这个样本，该样本利用六种NSA工具来感染网络上暴露SMB端口的计算机，这些用来攻击计算机的SMB漏洞的NSA工具是ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE,和 ETERNALSYNERGY。其中SMBTOUCH和ARCHITOUCH 是NSA工具中用来对SMB漏洞扫描的。一旦蠕虫成功攻击一台计算机，便可利用另外一个NSA工具（DOUBLEPULSAR）感染其他易受攻击的计算机。WannaCry疯狂传播目前已经有240,000多台计算机被勒索攻击，WannaCry正是使用的SMB漏洞来攻击和感染计算机。但是，WannaCry和EternalRocks之间存在不同之处，WannaCry只使用ETERNALBLUE和DOUBLEPULSAR这两种NSA工具来感染计算机，而EternalRocks利用了NSA工具种的7种。2、EternalRocks更复杂，但危险更小研究员Stampar披露：作为一个蠕虫，EternalRocks的危险性远不如WannaCry，因为它目前没有绑定任何恶意软件。但是并不意味着EternalRocks就很简单，结果恰恰相反。EternalRocks比WannaCry的SMB蠕虫组件更为复杂，因为EternalRocks对计算机的感染一共分为两步，第一步执行完后存在一个休眠期，休眠期结束后才会执行第二步。在第一步，EternalRocks感染计算机并获得权限，然后下载Tor客户端运行，然后向暗网中一个. Onion域名C＆C服务器发出请求。经过休眠期（目前为24小时），C＆C服务器才会做出响应。休眠期的存在可能会绕过沙盒安全检测，或者是安全研究者对蠕虫的分析，所以推迟24小时C＆C服务器才做出响应是非常有必要的。3、无开关域名另外，EternalRocks使用与WannaCry相同名称的文件，目的是引导安全研究人员将其错误分类，扰乱逆向分析方向。与WannaCry不同的是，EternalRocks并没有使用“开关域名”， “开关域名”在 WannaCry传播中起着至关重要的作用，以至于安全研究员在WannaCry传播的时候发现“开关域名”的作用后，把域名注册后WannaCry暂时停止传播。经过24小时的休眠期，C＆C服务器开始响应。EternalRocks开始进入第二步，在第一步已感染主机上下载一个恶意文件并命名为shadowbrokers.zip。shadowbrokers.zip文件目前不用过多介绍，这个文件中包含了shadowbrokers今天4月份放出NSA SMB exp。接下来，EternalRocks便开始快速扫描IP并尝试连接、感染。0x02、利用EternalRocks进行深入攻击由于EternalRocks利用的NSA工具多且无“开关域名”，同时存在一个休眠期。如果EternalRocks作者绑定一些勒索软件、木马、RAT或者其他的恶意软件，那么EternalRocks可能会对公网上存在SMB漏洞的计算机构成严重威胁。目前来看，这个蠕虫还在测试中，其作者正在测试蠕虫未来可能具有威胁。并不意味着EternalRocks无杀伤力，EternalRocks作者可以通过C&C服务器对已感染的计算机发出指令，同时可以利用此隐藏的通信通道将新的恶意软件发送到之前已被EternalRocks感染的计算机。另外，NSA工具中具有后门功能的DOUBLEPULSAR同样可以在已感染EternalRocks的计算机上运行，但是，EternalRocks作者没有对已感染EternalRocks的计算机上的DOUBLEPULSA使用采取任何加密保护措施，DOUBLEPULSAR目前都是默认配置。其他攻击者也可以使用已感染EternalRocks的计算机中的后门，可以通过这个后门安装新的恶意软件到计算机中。更多详细介绍可以去Stampar研究员的github 上查看：0x03、备受关注的SMB目前，黑客们已经在扫描使用旧版本SMB协议的计算机，或者没有为系统打补丁的计算机。WannaCry勒索软件爆发后，管理员们高度关注，对存在漏洞的机器打补丁或者禁用旧版本SMB协议，这样一来能被EternalRocks感染的机器数量正在慢慢减少。&&&& 研究员Stampar说：管理员们越快为系统打上新补丁越好，但是如果EternalRocks在管理员打补丁之前就已经感染，那么EternalRocks的控制者便可随时发动的进一步攻击。
本文由 安全客 翻译，转载请注明“转自安全客”，并附上链接。
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]天极传媒：天极网全国分站
您现在的位置：
EternalRocks来袭 腾讯电脑管家全面防御
Yesky天极新闻
　　【天极网IT新闻频道】腾讯安全反病毒实验室研究发现，新的SMB蠕虫EternalRocks(永恒之石)利用了多达7个不同的NSA工具进行传播，该蠕虫会伪装成与目前正在流行的“WannaCry”勒索病毒相同的名以躲避检测，蠕虫当前的目标是建立僵尸网络，暂时还没有传播恶意程序的行为，但是该网络也可能被其它不法分子利用，通过后门放置各种木马，甚至是新的勒索病毒。
　　目前，已经可以拦截此蠕虫的传播，同时旗下的哈勃分析系统也已经能够识别此蠕虫，建议广大用户开启管家抵御病毒侵袭。而早在22日，腾讯电脑管家已经通过官方发布了安全预警。
　　全球勒索病毒WannaCry肆虐数天后，网上还出现了与它共用同一漏洞的新病毒 Adylkuzz。据悉，该病毒并未勒索比特币，而是利用用户挖掘虚拟货币。现在，则又轮到了“EternalRocks”。克罗地亚计算机紧急响应小组的专家米罗斯拉夫首先发现该异常现象并在GitHub上介绍了EternalRocks病毒。
　　NSA泄露的工具大多与标准文档分享技术有关，它们来自 WindowsServer Message Block，也是WannaCry快速传播的罪魁祸首。微软今年3月就已发布补丁，但由于多数用户未及时升级电脑，因此极易遭受攻击。
　　与WannaCry 不同，现在 EternalRocks 还处于安静的潜伏状态，每当感染一台电脑，它就会下载 Tor(洋葱)个人浏览器并向病毒隐藏的发送信号。紧接着，该病毒潜伏24小时后服务器将自动开启，其病毒开始下载并自我复制，这就意味着安全专家的研究进度会被拖慢一天。
　　如今，EternalRocks虽然在不断传播，但还处在休眠状态。米罗斯拉夫警告称，这款病毒可能随时会武器化，它的策略与 WannaCry 的手段如出一辙，先感染大量电脑再集中爆发。对于此事，NSA 目前并未发表任何评论。腾讯安全反病毒实验室负责人马劲松表示，目前还未监控到EternalRocks(永恒之石)大规模爆发的行为。
　　虽然WannaCry勒索病毒的余波不断，接连出现新变种及与WannaCry类似传播方式的病毒，但广大用户不必担心。目前腾讯电脑管家已为用户打造了一整套包含漏洞免疫工具、文档守护者、文件恢复工具、勒索病毒专杀工具在内的解决方案，此外，还携手腾讯升级安全保障举措，免费为用户提供微云10G云备份空间(/?pfsource=guanjia)，不限流量不限速，为用户文件安全再加一把锁!
IT新闻微信公众平台
第一时间获取新鲜资讯
使用手机扫描左方二维码
您可能想看的内容
看过本文的人还看过
大家都在看
* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
现场除了吸人眼球的前沿科技展览外，科技大佬独树一帜的观点分享也成为亮点…
荣耀官方确定，荣耀9将在6月12日于上海东方体育中心发布，主题是“美得…
从搜索引擎到人工智能，百度似乎总在重复着谷歌的老路，百度谷歌之争，究竟…
2017年亚洲消费电子展“创新奖”获奖名单已正式公布。来看都有哪些企业…
这两天，疑似苹果WWDC的文件泄露，文件显示，新Mac和iPad Pr…
天弘基金发布公告称，5月27日零点起，个人持有余额宝的最高额度调整为2…
坚果Pro发布以来热点不断，这次为证实续航能力，坚果Pro挑战3天3夜…
外媒报道，由于安全部的要求，特朗普被迫换上了iPhone手机，并且只装…
手机充电并不是百无禁忌，下面这些情况需要引起大家的注意，不要踩了雷区。…
今天，小编给大家推荐几件旅行必备的摄影装备，让你的照片拍的有逼格。
由周睿羊等人组成的棋手团队和AlphaGo间的较量已经结束，阿法狗执白…
这两天，疑似苹果WWDC的文件泄露，文件显示，新Mac和iPad Pr…
从搜索引擎到人工智能，百度似乎总在重复着谷歌的老路，百度谷歌之争，究竟…
荣耀官方确定，荣耀9将在6月12日于上海东方体育中心发布，主题是“美得…
每日IT极热EternalRocks利用7个NAS漏洞传播 腾讯电脑管家可全面防御
发表于 17:42|
来源社区供稿|
摘要：目前，腾讯电脑管家已经可以拦截此蠕虫的传播，同时旗下的哈勃分析系统也已经能够识别此蠕虫，建议广大用户开启电脑管家抵御病毒侵袭。
&腾讯安全反病毒实验室研究发现，新的SMB蠕虫EternalRocks(永恒之石)利用了多达7个不同的NSA工具进行传播，该蠕虫会伪装成与目前正在流行的&WannaCry&勒索病毒相同的文件名以躲避检测，蠕虫当前的目标是建立僵尸网络，暂时还没有传播恶意程序的行为，但是该网络也可能被其它不法分子利用，通过后门放置各种木马，甚至是新的勒索病毒。
目前，腾讯电脑管家已经可以拦截此蠕虫的传播，同时旗下的哈勃分析系统也已经能够识别此蠕虫，建议广大用户开启电脑管家抵御病毒侵袭。而早在22日，腾讯电脑管家已经通过官方微博发布了安全预警。
全球勒索病毒WannaCry肆虐数天后，网上还出现了与它共用同一漏洞的新病毒 Adylkuzz。据悉，该病毒并未勒索比特币，而是利用用户计算机挖掘虚拟货币。现在，则又轮到了&EternalRocks&。克罗地亚计算机紧急响应小组的网络安全专家米罗斯拉夫首先发现该异常现象并在GitHub上介绍了EternalRocks病毒。
NSA泄露的工具大多与标准文档分享技术有关，它们来自微软 Windows Server Message Block，也是WannaCry快速传播的罪魁祸首。微软今年3月就已发布补丁，但由于多数用户未及时升级电脑，因此极易遭受攻击。
与WannaCry 不同，现在 EternalRocks 还处于安静的潜伏状态，每当感染一台电脑，它就会下载 Tor(洋葱路由)个人浏览器并向病毒隐藏的服务器发送信号。紧接着，该病毒潜伏24小时后服务器将自动开启，其病毒开始下载并自我复制，这就意味着安全专家的研究进度会被拖慢一天。
如今，EternalRocks虽然在不断传播，但还处在休眠状态。米罗斯拉夫警告称，这款病毒可能随时会武器化，它的策略与 WannaCry 的手段如出一辙，先感染大量电脑再集中爆发。对于此事，NSA 目前并未发表任何评论。腾讯安全反病毒实验室负责人马劲松表示，目前还未监控到EternalRocks(永恒之石)大规模爆发的行为。
虽然WannaCry勒索病毒的余波不断，接连出现新变种及与WannaCry类似传播方式的病毒，但广大用户不必担心。目前腾讯电脑管家已为用户打造了一整套包含漏洞免疫工具、文档守护者、文件恢复工具、勒索病毒专杀工具在内的解决方案，此外，还携手腾讯微云升级安全保障举措，免费为用户提供微云10G云备份空间(/?pfsource=guanjia)，不限流量不限速，为用户文件安全再加一把锁!
推荐阅读相关主题：
CSDN官方微信
扫描二维码,向CSDN吐槽
微信号：CSDNnews
相关热门文章比勒索病毒更恐怖 EternalRocks永恒之石病毒安全补丁下载地址及关闭445端口方法
作者：佚名
字体：[ ] 来源：互联网 时间：05-25 14:23:20
勒索病毒WannaCry的余波未消，EternalRocks（永恒之石）的新病毒更加让人胆寒，EternalRocks（永恒之石）利用了7个漏洞攻击方式，强烈建议采取以下安全措施，下面就详情来看看了解下
近日勒索病毒WannaCry的余波未消，更恐怖的新病毒已经出现了。相比WannaCry，这个名叫EternalRocks（永恒之石）的新病毒更加让人胆寒。
据悉，EternalRocks（永恒之石）同样在利用SMB安全漏洞悄无声息的潜伏传播。跟勒索病毒相比，EternalRocks（永恒之石）利用了7个漏洞攻击方式，而上周泛滥的勒索病毒仅利用了2个，就足以让全世界PC电脑鸡犬不宁了。
为何勒索病毒的影响至今远未消除呢？其原因在于，勒索病毒及其变种，以及最新的EternalRocks（永恒之石）病毒利用的漏洞攻击工具包均来源于NSA（美国国家安全局）的网络战武器。既然是国家级网络战武器，只用来做敲诈勒索自然是大材小用。
国内老牌杀软金山毒霸安全实验室已经注意到新的EternalRocks（永恒之石）病毒，经分析后认为，目前EternalRocks（永恒之石）蠕虫病毒正处于潜伏期，该病毒利用漏洞入侵后暂不采取任何破坏行为，但病毒已经在受感染的电脑中制造后门，可随时连接控制服务器获得最新的攻击指令采取行动。
简单说，EternalRocks（永恒之石）蠕虫病毒要变身成勒索病毒，只须病毒控制者一声令下。用来干别的坏事，当然也不是问题。
据了解，在5月22日已经可以查杀该蠕虫病毒，并强烈建议采取以下安全措施：
1、下载安装MS17-010安全补丁
微软已为xp系统特别提供补丁，下载安装即可：
2、部分盗版系统如果补丁安装不上，可禁用Server服务来关闭445端口。
操作步骤：
开始，运行&services.msc&，打开服务管理器，服务名称列表中找到Server，将其禁用。
3、也可以配置Windows防火墙策略，创建入站规则，禁止445端口的连接。
4、安装杀毒软件，防止EternalRocks（永恒之石）蠕虫病毒感染。
大家感兴趣的内容
12345678910
最近更新的内容