EternalRocks: Ερευνητές ασφαλείας μόλις διαπίστωσαν ένα νέο worm που διαδίδεται μέσω SMB χρησιμοποιώντας επτά hacking εργαλεία της NSA αντί για τα δύο που χρησιμοποιούσε το WannaCry.
Η ανακάλυψη πραγματοποιήθηκε από τον ερευνητή ασφαλείας Miroslav Stampar, μέλος της Κροατικής CERT. Ανακάλυψε το worm όταν εντόπισε μια μόλυνση σε ένα SMB honeypot, όπως αναφέρει το Bleeping Computer.
Ο Stampar ονόμασε το νέο worm EternalRocks και βρήκε ότι χρησιμοποιεί έξι εργαλεία της NSA για να μολύνει έναν υπολογιστή από τις θύρες SMB. Τα exploits EternalBlue, EternalChampion, EternalRomance, και EternalSynergy καθώς και τα SMBTouch και ArchiTouch, χρησιμοποιούνται μαζί με το DoublePulsar, το γνωστό εργαλείο της NSA, το οποίο προωθεί το worm σε νέες ευάλωτες μηχανές.
Συγκριτικά το WannaCry χρησιμοποίησε μόνο το EternalBlue και το DoublePulsar για να διαδοθεί σε περίπου 300.000 συσκευές.
Ο Stampar συγκρίνοντας το EternalRocks με το WannaCry παραδέχεται ότι είναι πολύ λιγότερο επικίνδυνο, κυρίως επειδή δεν παρέχει κακόβουλο περιεχόμενο. Το EternalRocks ωστόσο, είναι πολύ πιο περίπλοκο από το ransomware που σε παγκόσμιο επίπεδο.
Πως Λειτουργεί:
Μόλις το worm μολύνει το θύμα του, χρησιμοποιεί μια διαδικασία εγκατάστασης δύο σταδίων, με το δεύτερο στάδιο να καθυστερεί.
Στην πρώτη φάση, το EternalRocks κατεβάζει το πρόγραμμα Tor και στέλνει ένα σήματα σε ένα διακομιστή C&C στο Dark Web. Μετά από 24 ώρες ο διακομιστής C&C στέλνει πίσω μια απάντηση. Αυτή η καθυστερημένη απάντηση είναι μια μέθοδος που χρησιμοποιείται συχνά από κακόβουλο λογισμικό, ώστε να αποφευχθεί η ανίχνευση, καθώς ακόμα και οι ερευνητές ασφαλείας θα μπορούσαν να σταματήσουν να περιμένουν κάποια απάντηση από τον διακομιστή.
Το EternalRocks φαίνεται ότι δεν χρησιμοποιεί αρχεία με τα ίδια ονόματα που χρησιμοποιούσε το worm του WannaCry, ούτε συμπεριλαμβάνει κάποιο ένα kill switch domain.
Η εγκατάσταση του δεύτερου σταδίου του EternalRocks περιλαμβάνει τη λήψη ενός αρχείου που ονομάζεται shadowbrokers.zip. Οι Shadow Brokers, όπως ίσως γνωρίζετε, είναι η ομάδα που έκλεψε τα διαβαθμισμένα έγγραφα και αρχεία της NSA. Το worm κάνει μια σάρωση IP και προσπαθεί να συνδεθεί σε μια τυχαία διεύθυνση.
Αυτή τη στιγμή, το EternalRocks δεν είναι τόσο επικίνδυνο. Ωστόσο, θα μπορούσε να γίνει μια πολύ μεγάλη απειλή εάν οι επιτιθέμενοι αποφασίσουν να οπλίσουν το worm με ransomware, trojans ή οτιδήποτε άλλο.
“Το EternalRocks σε αντίθεση με την WannaCry, λειτουργεί στις σκιές, τόσο στο μηχάνημα όσο και στο Dark Web. Οι μολυσμένες μηχανές δεν μπορούν να εντοπιστούν εύκολα καθώς δεν υπάρχει κάποιο αναδυόμενο παράθυρο που ζητά bitcoins. Η χρήση των exploits που διαρρέουν συγκεντρώνουν πληροφορίες όπως διαπιστευτήρια, κωδικούς πρόσβασης που χρησιμοποιούνται κατά την πρόσβαση σε ιστότοπους, προσωπικούς τραπεζικούς λογαριασμούς και λογαριασμούς ηλεκτρονικού ταχυδρομείου ,” εξηγεί ο Paul Calatayud, CTO στο FireMon.
“Για να αποφευχθεί ο πλήρης έλεγχος αυτού του κακόβουλου λογισμικού, είναι σημαντικό να διαμορφώσετε το δίκτυό σας για να αποτρέψετε τις επικοινωνίες δικτύου με TOR.Τα περισσότερα τείχη προστασίας επόμενης γενιάς μπορούν να ρυθμιστούν ώστε να εμποδίζουν το TOR.”