据悉，该蠕虫由安然研究人员Miroslav Stampar(克罗地亚当局CERT成员，以及用于检测和应用SQL注入马脚的sqlmap对象的开辟者)于上周三(5月17日)在本身搭建的SMB蜜罐中发明。

近日，研究人员检测出了一种新的蠕虫正在经由过程SMB传播，但与WannaCry勒索软件的蠕虫有所不合，这种蠕虫病毒应用了7种NSA对象，而WannaCry仅应用了两种，这是否意味着该蠕虫将为全球收集带来更为严重的冲击?

EternalRocks应用了7种NSA对象

该蠕虫被Stampar定名为“EternalRocks”(国内厂商将其译作“永恒之石”)，研究人员在一个样本中发清楚明了该蠕虫的可履行属性，它经由过程应用6个环绕SMB的NSA对象来感染收集上裸露SMB端口的计算机。ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4个NSA对象重要用于进击计算机设毕喔赡SMB马脚，而SMBTOUCH和ARCHITOUCH 是2个用于SMB马脚扫描的NSA对象。

一旦该蠕虫获取了初步的容身点，那么它将应用另一个NSA对象——DOUBLEPULSAR来感染其他新的易受进击的计算机。

影响跨越24万受害者的WannaCry勒索软件就是应用SMB马脚来感染计算机设备，并将病毒传播给新的受害者。

不过，与EternalRocks不合的是，WannaCry的SMB蠕虫只应用了ETERNALBLUE和DOUBLEPULSAR两种NSA对象，ETERNALBLUE用于初始进击，DOUBLEPULSAR用于将病毒传播至新的设备上，而此次发明的EternalRocks如上所述却包含7种NSA对象。

作为蠕虫，EternalRocks远不如WannaCry危险，因为它今朝并没有传送任何恶意内容。然而，这并不料味着EternalRocks就很简单。据Stampar所言，实际情况恰好相反。

对于初学者来说，EternalRocks比WannaCry的SMB蠕虫组件更为复杂。一旦成功感染了受害者，该蠕虫就会应用两阶段的安装过程，且延迟第二阶段。

在第一阶段中，EternalRocks在感染的主机上获得权限，随后下载Tor客户端，并将其指向位于暗网的一个. >

EternalRocks可以随时实现兵器化

因为EternalRocks应用了大年夜量NSA对象，缺乏“开关域名”，且在两个安装过程间设置了休眠期，一旦EternalRocks开辟者决定用勒索软件、银行木马、RAT或其他任何器械来将其兵器化，那么EternalRocks可能会对那些将脆弱的SMB端口裸露在收集上的计算机构成严重威逼。

初步看来，该蠕虫似乎还在测试过程中，或是其开辟者正在测试蠕虫将来可能实现的威逼。

然而，这并不料味着EternalRocks是无害的。进击者可以经由过程C&C办事器对受此蠕虫感染的计算机设备发出指令进行控制，此外，蠕虫的开辟者还可以应用此隐蔽的通信通道将新的恶意软件发送到之前已被EternalRocks感染的计算机中。

EternalRocks更复杂，但危险更小

此外，具有后门功能的NSA对象——DOUBLEPULSAR仍然在受到EternalRocks感染的计算机上运行。不幸的是，EternalRocks的开辟者并没有采取任何办法来保护DOUBLEPULSAR，DOUBLEPULSAR今朝在默认无保护的状况下运行，这意味着，其他进击者也可以应用已经感染了EternalRocks的计算机设备中的后门，并经由过程该后门安装新的恶意软件到计算机中。

有兴趣可以前去github ，查看更多关于IOCs和蠕虫感染过程的信息。

请留意SMB端口

今朝，有很多进击者正在扫描运话旧版和未修补版本SMB办事的计算机。体系治理员们也已经留意到此事，并开端修复存在马脚的计算机，或是禁用旧版的SMBv1 协定，大年夜而逐渐削减被EternalRocks感染的机械数量。

此外，很多恶意软件(如Adylkuzz)也纷纷封闭SMB端口，防止被其他威逼进一步应用，此举也有助于削减EternalRocks和其他SMB佃猎(SMB-hunting)恶意软件的潜在目标数量。Forcepoint、 Cyphort和Secdo的申报具体介绍了今朝针对具有SMB端口的计算机的其他威逼。

不管怎么说，体系治理员可以或许越快为他们的体系打上补丁越好。Stampar表示，

 “今朝，该蠕虫正在与体系治理员之间进行一场时光比赛，如不雅它在治理员打补丁之前就成功感染计算机，那么其开辟者便可以随时将其兵器化，组织进一步进击行动，无碍于后期什么时刻能打上补丁。”

【编辑推荐】

1. 赛门铁克宣布针对WannaCry勒索软件的更新预警
2. 亚信安然专家做客搜狐，解读WannaCry勒索蠕虫！
3. WannaCry勒索蠕虫下的工控安然预警
4. 永恒之蓝勒索蠕虫进击初办法思：收集安然不克不及一隔了之
5. 被WannaCry勒索蠕虫加密的文件是否能答复复兴?

【义务编辑：IT疯 TEL：（010）68476606】

　　推荐阅读

　　出国的人注意了：怎样防止数据在美国边境上被搜查

以前2年，美国海关及边疆保卫局(CBP)对入境旅客的智妙手机和标记本电脑的搜查力度是越来越大年夜了。美公法庭根本大将边疆搜查定为宪法第4修改案的例外情况对待，CBP不消法庭签订的搜查令>>>详细阅读

本文标题：最新SMB僵尸网络利用了7个NSA工具，而WannaCry只用了两个……

地址：http://www.17bianji.com/lsqh/35415.html

 1/2    1