警惕“永恒之石”蠕虫借助NSA工具发起更大规模攻击

  • 内容
  • 相关

近日,金睛安全研究团队监控到另一个利用NSA泄露工具的蠕虫病毒EternalRocks(永恒之石)开始在互联网上传播。“永恒之石”和“wannacry”蠕虫一样,都通过MS17-010  SMB漏洞传播,但它却同时集成了7种NSA工具(EternalBlue,EternalRomance,Eternalsynergy,EternalChampion,Smbtouch,Architouch,DoublePulsar)。如果说“wannacry”开启了利用NSA泄露工具的潘多拉魔盒,那么“永恒之石”很有可能成为今后更大规模利用NSA泄露工具的里程碑。


病毒技术分析


EternalRocks主要通过MS17-010 SMB漏洞传播。感染EternalRocks后,会在C:\Program Files\Microsoft Updates 目录下释放一个名为UpdateInstaller.exe的文件。运行后,会联网下载微软.net框架的必要组件TaskScheduler and SharpZLib。同时在本目录下释放名为svchost.exe的程序:


其主要功能如下:

(1) 在同目录下生成installed.fgh,里面保存的是taskhost.exe的版本号。


(2) 判断Tor工具是否存在,不存在将联网下载,并配置tor代理。




(3) 将下载的Tor工具,svchost.exe以及taskhost.exe添加到计划任务中。




(4) 同时将以上程序添加到防火墙允许策略中。并打开防火墙,在防火墙中阻断对445端口的访问,防止其他病毒再次侵入。




(5) 下载的Tor会主动连接暗网中的C&C服务器,并在24小时之后下载一个名为taskhost.exe的程序。该程序采用C#语言编写,并添加了强混淆防止被反编译。运行后在同目录下释放名为shadowbrokers.zip的NSA泄露工具压缩包,并将其解压到同目录。压缩包内包含3个目录,分别为payloads,configs和bins。


Bins目录主要包含了7个NSA漏洞利用工具,但未使用其原始文件名,以下是病毒内嵌工具和原始NSA工具包中文件的对应关系:




Configs目录主要包含7个工具对应的配置文件



Payloads目录主要分别包含32位和64位系统的shellcode二进制文件以及对应的被植入的dll文件。



运行后,会随机生成IP地址,并连接对应的445端口,连接成功后会利用上述工具进行攻击,攻击成功后会将对应系统(32位或64位)的动态库植入到目标系统中。两个动态库注入成功后便会释放上面提到的UpdateInstaller.exe程序。


从“永恒之石”的功能上来看,其更像是一个“半成品”病毒,虽然危害较wannacry蠕虫小很多,但集成了更多的NSA工具,传播功能更大。未来有可能会有更多病毒效仿“永恒之石”集成NSA工具发动更大规模攻击。


相关NSA工具分析



“永恒之石”共利用了以下7个NSA工具,我们对这些工具进行了分类和危害等级划分,具体如下:



其中用到的4个漏洞攻击工具如下:

1. 永恒之蓝(EternalBlue)

漏洞影响系统:

Windows XP,Windows Vista,Windows 7,Windows 8,Windows 10,Windows 2000,Windows 2003,Windows 2008,Windows 2012


工具影响系统:

Windows XP(32位)、Windows 7(32位和64位)、Windows 2008 R2(32位和64位)


大名鼎鼎的“永恒之蓝”工具不必多说,是“wannacry”蠕虫利用的NSA泄露工具,其对应的漏洞影响几乎全版本Windows操作系统。


虽然EternalBlue工具对应的漏洞影响系统广泛,但EternalBlue工具主要针对Windows XP(32位)、Windows 7(32位和64位)以及Windows 2008 R2(32位和64位)环境进行攻击,并且对Windows 7的攻击效果尤为稳定,且可在Win7默认配置下进行攻击。这也是Win 7系统成为受“wannacry”影响最严重的操作系统的原因。


漏洞利用成功后,EternalBlue默认使用DoublePulsar植入了一个内核级无文件型后门,并可继续利用DoublePulsar工具继续向被控主机植入shellcode或动态库等。



2. 永恒浪漫(EternalRomance)

漏洞影响系统:

Windows XP,Windows Vista,Windows 7,Windows 8,Windows 10,Windows 2000,Windows 2003,Windows 2008,Windows 2012


工具影响系统:

Windows XP(SP0~SP3 32位,SP1~SP2 64位)

Windows Server 2003(SP0~SP2 32位,SP1~SP2 64位),Windows Vista(全版本),Windows SERVER 2008(全版本),Windows 7(全版本)Windows SERVER 2008R2(全版本)


永恒浪漫是另一个影响系统广泛的工具。但其较永恒之蓝所受限制更多,除了Windows XP等低版本操作系统外,其他大多数操作系统默认配置下无法利用成功。




漏洞利用成功后,EternalRomance同样向被攻击主机植入了DoublePulsar后门,并可继续利用DoublePulsar工具继续向被控主机植入shellcode或动态库等。


3. 永恒协作(Eternalsynergy)

漏洞影响系统:

Windows 8,Windows 2012


工具影响系统:

Windows 8(64位),Windows 2012(64位)


永恒协作影响系统较少,只影响Windows 8以及Windows 2012系统,且工具主要攻击上述系统的64位环境,并且在系统默认配置下无法利用成功。



漏洞利用成功后,Eternalsynergy同样向被攻击主机植入DoublePulsar后门,并可继续利用DoublePulsar工具继续向被控主机植入shellcode或动态库等。

 

4. 永恒王者(EternalChampion)

工具影响系统:

Windows XP(SP0~SP3 32位,SP1~SP2 64位) ,Windows Server 2003(SP0~SP2 32位,SP1~SP2 64位),Windows Vista(全版本) ,Windows SERVER 2008(全版本),Windows 7(全版本),Windows SERVER 2008R2(全版本),Windows 8(全版本)


永恒王者利用的是一个竞争条件漏洞。虽然该漏洞影响的操作系统比较广,但该工具的成功率很低。

EternalChampion攻击成功后,同样可继续利用DoublePulsar工具继续向被控主机植入shellcode或动态库等。



解决方案



1.针对上述工具我们已经添加事件,升级到最新版本事件库即可检测或阻断EternalRocks以及对应NSA工具带来的威胁。相关工具和对应的事件名如下表:



2.及时更新MS17-010漏洞补丁可防范上述漏洞带来的潜在威胁。


微软官方链接:https://technet.microsoft.com/zh-cn/library/security/MS17-010


来自:启明星辰公众号

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:警惕“永恒之石”蠕虫借助NSA工具发起更大规模攻击 - http://www.shungg.cn/post/105

发表评论

电子邮件地址不会被公开。 必填项已用*标注