EternalRocks νέο worm χρησιμοποιεί 6 εργαλεία της NSA

EternalRocks: Ερευνητές ασφαλείας μόλις διαπίστωσαν ένα νέο που διαδίδεται μέσω χρησιμοποιώντας επτά hacking εργαλεία της NSA αντί για τα δύο που χρησιμοποιούσε το WannaCry.

Η ανακάλυψη πραγματοποιήθηκε από τον ερευνητή ασφαλείας Miroslav Stampar, μέλος της Κροατικής CERT. Ανακάλυψε το worm όταν εντόπισε μια μόλυνση σε ένα SMB honeypot, όπως αναφέρει το Bleeping Computer.
EternalRocks
Ο Stampar ονόμασε το νέο worm EternalRocks και βρήκε ότι χρησιμοποιεί έξι εργαλεία της NSA για να μολύνει έναν υπολογιστή από τις θύρες SMB. Τα , EternalChampion, EternalRomance, και EternalSynergy καθώς και τα SMBTouch και ArchiTouch, χρησιμοποιούνται μαζί με το DoublePulsar, το γνωστό εργαλείο της NSA, το οποίο προωθεί το worm σε νέες ευάλωτες μηχανές.

Συγκριτικά το WannaCry χρησιμοποίησε μόνο το EternalBlue και το DoublePulsar για να διαδοθεί σε περίπου 300.000 συσκευές.

Ο Stampar συγκρίνοντας το EternalRocks με το WannaCry παραδέχεται ότι είναι πολύ λιγότερο επικίνδυνο, κυρίως επειδή δεν παρέχει κακόβουλο περιεχόμενο. Το EternalRocks ωστόσο, είναι πολύ πιο περίπλοκο από το ransomware που σε παγκόσμιο επίπεδο.

  Η Uber παραβιάστηκε με την μέθοδο social engineering

Πως Λειτουργεί:

Μόλις το worm μολύνει το θύμα του, χρησιμοποιεί μια διαδικασία εγκατάστασης δύο σταδίων, με το δεύτερο στάδιο να καθυστερεί.

Στην πρώτη φάση, το EternalRocks κατεβάζει το πρόγραμμα Tor και στέλνει ένα σήματα σε ένα διακομιστή C&C στο Dark Web. Μετά από 24 ώρες ο διακομιστής C&C στέλνει πίσω μια απάντηση. Αυτή η καθυστερημένη απάντηση είναι μια μέθοδος που χρησιμοποιείται συχνά από κακόβουλο λογισμικό, ώστε να αποφευχθεί η ανίχνευση, καθώς ακόμα και οι ερευνητές ασφαλείας θα μπορούσαν να σταματήσουν να περιμένουν κάποια απάντηση από τον διακομιστή.

Το EternalRocks φαίνεται ότι δεν χρησιμοποιεί αρχεία με τα ίδια ονόματα που χρησιμοποιούσε το worm του WannaCry, ούτε συμπεριλαμβάνει κάποιο ένα kill switch domain.

Η εγκατάσταση του δεύτερου σταδίου του EternalRocks περιλαμβάνει τη λήψη ενός αρχείου που ονομάζεται shadowbrokers.zip. Οι Shadow , όπως ίσως γνωρίζετε, είναι η που έκλεψε τα διαβαθμισμένα έγγραφα και αρχεία της NSA. Το worm κάνει μια σάρωση IP και προσπαθεί να συνδεθεί σε μια τυχαία διεύθυνση.

  Internet Explorer φεύγει από τα Windows 10

Αυτή τη στιγμή, το EternalRocks δεν είναι τόσο επικίνδυνο. Ωστόσο, θα μπορούσε να γίνει μια πολύ μεγάλη απειλή εάν οι επιτιθέμενοι αποφασίσουν να οπλίσουν το worm με ransomware, trojans ή οτιδήποτε άλλο.

“Το EternalRocks σε αντίθεση με την WannaCry, λειτουργεί στις σκιές, τόσο στο όσο και στο Dark Web. Οι μολυσμένες μηχανές δεν μπορούν να εντοπιστούν εύκολα καθώς δεν υπάρχει κάποιο αναδυόμενο παράθυρο που ζητά bitcoins. Η χρήση των exploits που διαρρέουν συγκεντρώνουν πληροφορίες όπως διαπιστευτήρια, κωδικούς πρόσβασης που χρησιμοποιούνται κατά την πρόσβαση σε ιστότοπους, προσωπικούς τραπεζικούς λογαριασμούς και λογαριασμούς ηλεκτρονικού ταχυδρομείου ,” εξηγεί ο Paul Calatayud, CTO στο FireMon.

“Για να αποφευχθεί ο πλήρης έλεγχος αυτού του κακόβουλου λογισμικού, είναι σημαντικό να διαμορφώσετε το δίκτυό σας για να αποτρέψετε τις επικοινωνίες δικτύου με TOR.Τα περισσότερα τείχη προστασίας επόμενης γενιάς μπορούν να ρυθμιστούν ώστε να εμποδίζουν το TOR.”

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


9  +  1  =