「永恒之石」一口氣用同個黑客集團外流的七個漏洞展開攻擊, 與WannaCry較勁?
責編:mhshi |2017-05-25 18:56:31【2017年5月25日】一個名為“永恒之石”的最新惡意程序火爆網絡圈!它不僅會攻擊ShadowBrokers黑客集團從美國國安局(NSA)外流并被惡名昭彰的WannaCry(想哭)勒索蠕蟲所利用的EternalBlue和DoublePulsar兩個漏洞。厲害的是他還會攻擊其他五個由同一黑客集團所外流的漏洞:EternalChampion、EternalRomance、EternalSynergy、ArchiTouch以及SMBTouch。這些都是針對Microsoft Server Message Block(SMB)網絡資源(如檔案及打印機)分享通訊協定的漏洞。
感染目標設備后,分兩階段執行安裝程序
“永恒之石”惡意程序最早是由科羅埃西亞電腦緊急應變小組(CERT)安全研究人員Miroslav Stampar發現,該惡意程序一旦感染指定的計算機后,會分兩個階段執行安裝程序。
第一階段,惡意程序會下載TOR客戶端來建立通信管道;
第二階段,再透過該管道與其幕后操縱(C&C)服務器通信。
最可怕是,該C&C服務器并不會立即做出回應,而是等過了24小時之后才響應。這樣的延遲設計,可能是為了躲避沙盒模擬分析技巧的測試以及安全人員的分析。
一旦C&C服務器開始響應,就會送出一個ZIP壓縮檔(shadowbrokers.zip),里面含有NSA相關漏洞的攻擊套件。當“永恒之石”解開壓縮檔之后,就會開始掃描網絡上是否有任何電腦開放了TCP 445連接埠,如果有就會試圖加以感染。“永恒之石”所用到的某些漏洞在Microsoft三月份的MS17-010更新當中已經解決。
通過由蠕蟲的方式進行散布
“永恒之石”通過由蠕蟲的方式進行散布,因此萬一黑客將該惡意程序變成一種武器,感染“永恒之石”的電腦就會遭遇意想不到的嚴重后果。
此外,WannaCry內置了一個「關閉開關」,當它能夠聯機至某個網域時就會自動關閉,其疫情才會獲得控制。但“永恒之石”沒有這樣的開關,所以一旦爆發疫情,后果可能會一發不可收。
企業和用戶即刻未雨綢繆,防患未然
如果WannaCry帶來的疫情還不能讓人們意識到系統更新修補的重要,那么這個可能更加危險的最新惡意程序,或許可以提高大家的危機意識。由于“永恒之石”利用的同樣也是WannaCry所用的漏洞,因此企業或個人使用者都應趁“永恒之石”還未出現危險行為之前,快速更新修補自己的系統。對于像WannaCry及“永恒之石”這樣的惡意程序,預防勝于治療,即刻未雨綢繆,防患未然。
亞信安全產品防護措施
亞信安全服務器深度安全防護系統Deep Security和亞信安全Vulnerability Protection漏洞防護都能提供虛擬修補來防范企業端點因未修補的漏洞而遭到攻擊。
亞信安全防毒墻網絡版OfficeScan的漏洞防護功能,也能在修補程序部署之前防止端點裝置遭到已知及未知的漏洞攻擊。
亞信安全深度威脅發現平臺Deep Discovery能夠偵測、深入分析并主動響應漏洞攻擊,利用特殊的引擎、客制化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋網絡攻擊的所有階段,甚至不需更新引擎或病毒碼就能偵測類似攻擊。