近日,安全专家发现一种类似wannacry的病毒,通过泄露的nsa武器库中的smb文件共享协议漏洞进行传播,此新型病毒被命名为“永恒之石”(eternalrocks)。此病毒的感染和传播利用了nsa泄露的7种黑客工具,从探测、感染、潜伏、传播到植入后门,虽然目前没有对受感染机器造成实际危害,但是如此复杂而安静的动作,更像暴风雨来临的前夕。
事件梳理
病毒分析
同此前爆发的勒索病毒wannacry一样,此次发现的永恒之石病毒同样利用了美国国家安全局(nsa)泄漏的微软windows系统漏洞,但勒索病毒wannacry只利用了2个漏洞,而永恒之石则利用了7个漏洞,因而其危害远比勒索病毒要大。
永恒之石利用的7个漏洞
其传播过程如下:
1、
利用architouch、smbtouch两个扫描工具探测开放smb端口的计算机;
2、
开启smb端口的计算机以后,利用eternalblue、eternalchampion、eternalromance、eternalsynergy四个漏洞攻击程序感染受害主机;
3、
感染成功后,“永恒之石”病毒将获取主机权限,下载tor客户端,并将其指向位于暗网的一个. onion域名c&c服务器上;
4、
经过“潜伏期”24小时后,c&c服务器才会做出回应。这种长时间的延迟很有可能帮助病毒绕过沙盒安全检测和安全研究人员的分析;
5、
在受害主机上植入doublepulsar后门程序,利用此后门,黑客可远程控制受感染计算机。
安全检测
针对2017年4月泄露的nsa武器库内容,深信服云眼平台早在一个月前已提供漏洞检测功能,可同时进行漏洞检测和后门检测,如下图所示:
有需求的用户,可扫描下面二维码,并提交域名进行安全检测:
凯发登录的解决方案
1、微软官方在3月份已发布补丁ms17-010修复了“永恒之石”病毒所利用的smb漏洞,请前往凯发注册网站官网下载安装。经过前段时间wannacry勒索病毒事件已打过补丁的用户将不受影响,无需再次升级补丁。补丁地址:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、暂时无法进行升级的用户,可临时禁止使用smb服务的445端口,禁用方法
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
3、深信服防火墙早在一个月前就已发布针对微软smb漏洞的攻击防护,用户可升级到20170415及其以上版本即可防御此漏洞的攻击。
深信服智安全专注做实用的安全,能够帮助组织更有效地检测并阻止安全威胁,降低it业务创新过程中的各种风险,为您的网络、数据和组织提供全面保护,让每个组织的安全建设更有效、更简单。 |
- / 2020-02-15
- / 2020-02-14
- / 2020-02-15