「世界末日」級蠕蟲永恆之石 利用7個NSA漏洞
如果NSA被泄黑客工具有「戰神金剛」這樣的存在,那必須得是「永恆之石(EternalRocks)」。永恆之藍才用了倆個漏洞。
5月21日,研究人員證實,名為「永恆之石」的新惡意軟體採用了7個在今年4月被影子經紀人黑客團伙放出由NSA開發的漏洞利用。專家將該惡意軟體描述為可突然襲擊的「世界末日」級蠕蟲。
本月初,WannaCry勒索軟體在全球各大學校、醫院和政府機關肆虐,席捲了超30萬台電腦。這款勒索軟體採用了2個NSA被泄漏洞利用——永恆之藍和雙脈衝星。幾天後,研究人員發現了Adylkuzz——採用相同漏洞利用並創建殭屍網路以挖掘加密貨幣的新惡意軟體。
如今,「永恆之石」出現。米洛斯拉夫·斯塔姆帕,克羅埃西亞計算機應急響應小組的一名網路安全專家,在5月17號的時候,首先發現了該黑客工具大雜燴。對「永恆之石」最早的發現,可以追溯到5月3號,他在GitHub上寫的一篇描述文章(https://github.com/stamparm/EternalRocks)。
「永恆之石」利用了永恆之藍(EternalBlue)、雙脈衝星(DoublePulsar)、永恆鬥士(EternalChampion)、永恆之愛(EternalRomance)、永遠協同(EternalSynergy)、觸摸架構(ArchiTouch)和觸摸SMB(SMBTouch)等安全漏洞,而這些全都是影子經紀人泄露的NSA漏洞利用。斯塔姆帕稱,他是在自己的蜜罐系統被感染後發現的這窩黑客工具。
這堆工具中的大多數,利用的都是PC常用標準文件共享技術Windows伺服器消息塊(SMB)中的漏洞,也就是WannaCry得以隱秘快速傳播的途徑。微軟在3月份發布了這些漏洞的補丁,但很多過時的老舊電腦依然有中招風險。
與警告用戶「您已被勒索軟體綁架」的WannaCry不同,「永恆之石」在計算機上保持安靜低調不顯山露水。
一旦進入系統,它會下載Tor的私有瀏覽器,發送信號到其隱藏伺服器。然後,進入等待狀態。24小時內沒有任何動作。但之後,伺服器便會響應,開始下載和自我複製動作。這意味著,想要獲取更多信息進行研究的安全專家們,至少要多耗費一天時間。
安全公司Plixer首席執行官邁克爾·帕特森說:「通過延遲通信,惡人試圖更為隱秘。檢測並阻止所有惡意軟體的競賽多年前已經輸了。」
斯塔姆帕稱,「永恆之石」甚至自命名為WannaCry來試圖在安全研究人員面前隱身。與WannaCry變種類似,「永恆之石」同樣去掉了「斷路開關」,因而難以簡單封鎖。
目前為止,「永恆之石」依然靜靜地傳播和感染更多計算機中。斯塔姆帕警告:該蠕蟲可於任何時候被武器化,就像WannaCry勒索軟體在成功感染成千上萬台電腦後突然鎖定電腦一樣。
有鑒於其隱秘本質,有多少台電腦已經被「永恆之石」感染尚未可知。它會被武器化成什麼樣子也還不明朗。Plixer稱,該蠕蟲有可能馬上被轉化為針對銀行業的勒索軟體或木馬攻擊。
NSA因對這些漏洞利用留中不發而廣受詬病。17號,國會引入了一項法案,可能會迫使政府將其網路武器庫移交給獨立審查委員會。
NSA沒有就評論請求做出立即答覆。
推薦閱讀:
※新的移動惡意軟體利用分層混淆瞄準俄羅斯銀行
※俄羅斯黑客暗網出售勒索軟體服務(RaaS),價格低廉人人可用
※發現隱藏在偽造的Flash更新中的持續威脅
※Github 安全軍火庫(四)
※如何高效清除電腦里的惡意軟體?