近日，研究人員檢測出了一種新的蠕蟲正在通過SMB傳播，但與WannaCry勒索軟件的蠕蟲有所不同，這種蠕蟲病毒使用了7種NSA工具，而WannaCry僅使用了兩種，這是否意味著該蠕蟲將為全球網絡帶來更為嚴重的衝擊？

據悉，該蠕蟲由安全研究人員Miroslav Stampar（克羅地亞政府CERT成員，以及用於檢測和利用SQL注入漏洞的sqlmap工具的開發者）於上週三（5月17日）在自己搭建的SMB蜜罐中發現。

EternalRocks使用了7種NSA工具

該蠕蟲被Stampar命名為“EternalRocks”（國內廠商將其譯作“永恒之石”），研究人員在一個樣本中發現了該蠕蟲的可執行内容，它通過使用6個圍繞SMB的NSA工具來感染網絡上暴露SMB埠的電腦。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4個NSA工具主要用於攻擊電腦設備上的SMB漏洞，而SMBTOUCH和ARCHITOUCH 是2個用於SMB漏洞掃描的NSA工具。

一旦該蠕蟲獲取了初步的立足點，那麼它將使用另一個NSA工具——DOUBLEPULSAR來感染其他新的易受攻擊的電腦。

 

影響超過24萬受害者的WannaCry勒索軟件就是使用SMB漏洞來感染電腦設備，並將病毒傳播給新的受害者。

不過，與EternalRocks不同的是，WannaCry的SMB蠕蟲只使用了ETERNALBLUE和DOUBLEPULSAR兩種NSA工具，ETERNALBLUE用於初始攻擊，DOUBLEPULSAR用於將病毒傳播至新的設備上，而此次發現的EternalRocks如上所述卻包含7種NSA工具。

EternalRocks更複雜，但危險更小 

作為蠕蟲，EternalRocks遠不如WannaCry危險，因為它現時並沒有傳送任何惡意內容。然而，這並不意味著EternalRocks就很簡單。據Stampar所言，實際情況恰恰相反。

對於初學者來說，EternalRocks比WannaCry的SMB蠕蟲組件更為複雜。一旦成功感染了受害者，該蠕蟲就會使用兩階段的安裝過程，且延遲第二階段。

在第一階段中，EternalRocks在感染的主機上獲得許可權，隨後下載Tor用戶端，並將其指向位於暗網的一個. Onion功能變數名稱C＆C服務器上。

只有經過預定義的休眠期（現時為24小時），C＆C服務器才會做出回應。這種長時間的延遲很有可能幫助蠕蟲繞過沙箱安全檢測和安全研究人員的分析，因為很少有人會花費整整一天的時間等待C＆C服務器做出回應。

沒有開關（kill switch）功能變數名稱

此外，EternalRocks還使用了與WannaCry的SMB蠕蟲相同的檔案名稱，這是另一個試圖愚弄安全研究人員將其錯誤分類的嘗試。

但是與WannaCry不同的是，EternalRocks並沒有“開關功能變數名稱（kill switch）”。在 WannaCry中，安全研究人員正是利用該“開關功能變數名稱”功能，成功封锁了WannaCry的傳播。

在初始休眠期到期後，C＆C服務器便會做出響應，EternalRocks也開始進入第二階段的安裝過程，下載一個以shadowbrokers.zip命名的第二階段惡意軟件組件。

然後，EternalRocks便開始IP快速掃描過程，並嘗試連接到任意IP地址中。

 

EternalRocks可以隨時實現武器化

由於EternalRocks利用了大量NSA工具，缺乏“開關功能變數名稱”，且在兩個安裝過程間設定了休眠期，一旦EternalRocks開發者决定用勒索軟件、銀行木馬、RAT或其他任何東西來將其武器化，那麼EternalRocks可能會對那些將脆弱的SMB埠暴露在網絡上的電腦構成嚴重威脅。

初步看來，該蠕蟲似乎還在測試過程中，或是其開發者正在測試蠕蟲未來可能實現的威脅。

然而，這並不意味著EternalRocks是無害的。攻擊者可以通過C&C服務器對受此蠕蟲感染的電腦設備發出指令進行控制，此外，蠕蟲的開發者還可以利用此隱藏的通信通道將新的惡意軟件發送到之前已被EternalRocks感染的電腦中。

此外，具有後門功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的電腦上運行。不幸的是，EternalRocks的開發者並沒有採取任何措施來保護DOUBLEPULSAR，DOUBLEPULSAR現時在默認無保護的狀態下運行，這意味著，其他攻擊者也可以利用已經感染了EternalRocks的電腦設備中的後門，並通過該後門安裝新的惡意軟件到電腦中。

有興趣可以前往github，查看更多關於IOCs和蠕蟲感染過程的資訊。

請注意SMB埠

現時，有很多攻擊者正在掃描運行舊版和未修補版本SMB服務的電腦。系統管理員們也已經注意到此事，並開始修復存在漏洞的電腦，或是禁用舊版的SMBv1 協定，從而逐漸减少被EternalRocks感染的機器數量。 

此外，許多惡意軟件（如Adylkuzz）也紛紛關閉SMB埠，防止被其他威脅進一步利用，此舉也有助於减少EternalRocks和其他SMB狩獵（SMB-hunting）惡意軟件的潜在目標數量。Forcepoint、Cyphort和Secdo的報告詳細介紹了現時針對具有SMB埠的電腦的其他威脅。

不管怎麼說，系統管理員能够越快為他們的系統打上補丁越好。Stampar表示，

“現時，該蠕蟲正在與系統管理員之間進行一場時間競賽，如果它在管理員打補丁之前就成功感染電腦，那麼其開發者便可以隨時將其武器化，組織進一步攻擊行動，無礙於後期什麼時候能打上補丁。”

*參攷來源：bleepingcomputer，米雪兒編譯，轉載請注明來自FreeBuf.COM