警惕!比WannaCry更厉害病毒“永恒之石”来了(集成7个漏洞)
laoyan 2017-05-24 20:02:31
分 享


事件简介


近日,安全专家发现一种类似WannaCry的病毒,通过泄露的NSA武器库中的SMB文件共享协议漏洞进行传播,此新型病毒被命名为“永恒之石”(EternalRocks)。此病毒的感染和传播利用了NSA泄露的7种黑客工具,从探测、感染、潜伏、传播到植入后门,虽然目前没有对受感染机器造成实际危害,但是如此复杂而安静的动作,更像暴风雨来临的前夕。


事件梳理


警惕!比WannaCry更厉害病毒“永恒之石”来了01.png


病毒分析


同此前爆发的勒索病毒WannaCry一样,此次发现的永恒之石病毒同样利用了美国国家安全局(NSA)泄漏的微软Windows系统漏洞,但勒索病毒WannaCry只利用了2个漏洞,而永恒之石则利用了7个漏洞,因而其危害远比勒索病毒要大。


警惕!比WannaCry更厉害病毒“永恒之石”来了02.png


其传播过程如下:


(1)利用Architouch、Smbtouch两个扫描工具探测开放SMB端口的计算机;


(2)开启SMB端口的计算机以后,利用Eternalblue、Eternalchampion、Eternalromance、Eternalsynergy四个漏洞攻击程序感染受害主机;


(3)感染成功后,“永恒之石”病毒将获取主机权限,下载Tor客户端,并将其指向位于暗网的一个. Onion域名C&C服务器上;


(4)经过“潜伏期”24小时后,C&C服务器才会做出回应。这种长时间的延迟很有可能帮助病毒绕过沙盒安全检测和安全研究人员的分析;


(5)在受害主机上植入Doublepulsar后门程序,利用此后门,黑客可远程控制受感染计算机。


警惕!比WannaCry更厉害病毒“永恒之石”来了03.png


安全检测


针对2017年4月泄露的NSA武器库内容,深信服云眼平台早在一个月前已提供漏洞检测功能,可同时进行漏洞检测和后门检测,如下图所示:


警惕!比WannaCry更厉害病毒“永恒之石”来了04.png


有需求的用户,可扫描下面二维码,并提交域名进行安全检测:


警惕!比WannaCry更厉害病毒“永恒之石”来了05.png


解决方案


1、微软官方在3月份已发布补丁MS17-010修复了“永恒之石”病毒所利用的SMB漏洞,请前往官网下载安装。经过前段时间WannaCry勒索病毒事件已打过补丁的用户将不受影响,无需再次升级补丁。补丁地址:


https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx


2、暂时无法进行升级的用户,可临时禁止使用SMB服务的445端口,禁用方法


http://www.lybbn.cn/data/datas.php?yw=188


3、深信服防火墙早在一个月前就已发布针对微软SMB漏洞的攻击防护,用户可升级到20170415及其以上版本即可防御此漏洞的攻击。


原文地址


https://mp.weixin.qq.com/s?__biz=MjM5MTAzNjYyMA==&mid=2650511967&idx=1&sn=d0b4cc33ea371d313864a04a39888fe7&chksm=beb49ffc89c316eaf823ed2373eb072ea65b22269188b9841092690c1e034137ef880bad4fac&mpshare=1&scene=1&srcid=0524lZHbfL92WZPndw4tmTDY&key=ee78e0b447ed92d617375f6e8f5eb5c16240e3170680ae7ac35297e4fdd2e63bcd910f36e6a75d2bab136abbc3575b2817da782ec30f24ecbe258c72354c3828f0e9b4ad469468f1c4ec6f52f5e666c7&ascene=0&uin=MjkxMDQyNjgyMQ%3D%3D&devicetype=iMac+MacBookAir7%2C1+OSX+OSX+10.12.4+build(16E195)&version=12020610&nettype=WIFI&fontScale=100&pass_ticket=8CAKfxH8DIC1xpCKy8OzzTVmF048G1PcCPQ0g4zq%2FZOC%2BvT8CUYzM6gUJJfyPCpR


我要小额支持下

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

取消
吐槽一下

游客

所有吐槽
  • 暂时还没有吐槽,赶紧来吐槽!