• ● 处置建议
  • ● 病毒介绍
  • ● 病毒分析
  • ● 安全检测
警惕!比WannaCry更厉害病毒“永恒之石”来了

来源:深信服安全产品研发  发布时间:2017-05-27

处置建议
病毒介绍

近日,安全专家发现一种类似WannaCry的病毒,通过泄露的NSA武器库中的SMB文件共享协议漏洞进行传播,此新型病毒被命名为“永恒之石”(EternalRocks)。 此病毒的感染和传播利用了NSA泄露的7种黑客工具,从探测、感染、潜伏、传播到植入后门,虽然目前没有对受感染机器造成实际危害,但是如此复杂而安静的动作,更像暴风雨来临的前夕。

病毒分析

同此前爆发的勒索病毒WannaCry一样,此次发现的永恒之石病毒同样利用了美国国家安全局(NSA)泄漏的微软Windows系统漏洞, 但勒索病毒WannaCry只利用了2个漏洞,而永恒之石则利用了7个漏洞,因而其危害远比勒索病毒要大。

其传播过程如下:
  • 1、利用Architouch、Smbtouch两个扫描工具探测开放SMB端口的计算机;
  • 2、开启SMB端口的计算机以后,利用Eternalblue、Eternalchampion、Eternalromance、Eternalsynergy四个漏洞攻击程序感染受害主机;
  • 3、感染成功后,“永恒之石”病毒将获取主机权限,下载Tor客户端,并将其指向位于暗网的一个. Onion域名C&C服务器上;
  • 4、经过“潜伏期”24小时后,C&C服务器才会做出回应。这种长时间的延迟很有可能帮助病毒绕过沙盒安全检测和安全研究人员的分析;
  • 5、在受害主机上植入Doublepulsar后门程序,利用此后门,黑客可远程控制受感染计算机。
安全检测

针对2017年4月泄露的NSA武器库内容,深信服云眼平台早在一个月前已提供漏洞检测功能,可同时进行漏洞检测和后门检测,如下图所示: