近日,国家信息安全漏洞库(CNNVD)收到关于“永恒之石”(EternalRocks)病毒的分析报告。该病毒与不久前广泛传播的“WannaCry”勒索病毒类似,均利用了今年4月方程式组织泄露的漏洞利用工具进行传播。“永恒之石”感染存在漏洞的主机之后,会潜伏下来,等待远程CC(命令与控制)服务器的指令,比“WannaCry”病毒更加隐蔽,不易察觉。国家信息安全漏洞库(CNNVD)对此进行了分析研究,情况如下:
一、“永恒之石”背景
“永恒之石”最早由克罗地亚安全专家MiroslavStampar发现和命名,并在5月17日通过推特发布相关信息。
“永恒之石”主要借鉴了7款针对微软Windows系统漏洞的利用工具进行传播扩散(见表1)。年4月14日,黑客组织ShadowBrokers(影子经纪人)公布了黑客组织EquationGroup(方程式组织)的部分泄露文件,其中即包括上述7款漏洞利用工具。
表1:“永恒之石”漏洞利用工具列表
二、“永恒之石”技术特点及危害
(一)技术特点
“永恒之石”扫描SMB端口,利用Windows操作系统在端口的安全漏洞(CNNVD-03-~CNNVD-03-)通过网络感染受害主机,进而使其主动下载Tor浏览器并与暗网中的CC服务器建立通信,连接服务器24小时后,可在躲避沙盒技术检测的情况下,主动下载相关漏洞利用工具,进而感染其他主机。同时该病毒会从CC服务器接收其他指令,可能进行其他攻击。
a)“永恒之石”利用了方程式组织泄露的7个利用工具,与“WannaCry”相比更为复杂;
b)“永恒之石”仅通过网络进行传播扩散,而“WannaCry”对感染主机的文件进行难以破解的加密,并勒索比特币;
c)“永恒之石”并未像“WannaCry”一样,设置域名开关用于控制病毒传播;
d)“永恒之石”会在被感染的主机上安装后门,远程攻击者可利用该后门控制被感染主机;
e)“永恒之石”感染主机后,会延迟24小时下载攻击工具,目的在于拖延安全研究人员的响应时间。
(二)潜在危害
a)“永恒之石”经过预定义的休眠期(目前为24小时),C&C服务器才会做出回应,不易被安全检测沙盒和安全研究人员发现;
b)攻击者可以通过CC服务器对受此“永恒之石”感染的计算机设备发出指令进行控制,并将新的恶意软件发送到已被感染的主机中。
c)与“WannaCry”相比,“永恒之石”虽尚未造成严重的危害,但若攻击者将“永恒之石”与勒索软件、木马等绑定,将可能对存在漏洞的主机造成严重的威胁。
d)如今尚未出现爆发大规模感染的情况,但结合“WannaCry”对内网的破坏情况可知,内网蔓延的隐患仍然存在。
三、处置建议
1、个人用户采取应急措施,安装漏洞修复补丁。“永恒之石”利用了与“WannaCry”勒索蠕虫相同的微软安全漏洞,请个人用户及时检查安装MS17-修复补丁,补丁链接如下:
