Новый SMB-червь использует семь средств взлома NSA
Исследователи обнаружили новый червь, распространяющийся через SMB, но в отличие от червя компонента WansCry, этот использует семь инструментов NSA вместо двух.
Существование червя впервые обнаружилось в среду, после того, как оно заразило приманку SMB Мирослава Стампара, члена правительства Хорватии CERT, и создателя средства sqlmap, используемого для обнаружения и использования недостатков SQL-инъекций.
EternalRocks использует семь инструментов NSA
Червь, который Stampar назвал EternalRocks на основе свойств исполняемого файла червя, найденных в одном образце, работает с использованием шести SMB-ориентированных инструментов NSA, чтобы заразить компьютер с портами SMB, выставленными онлайн. Это ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE и ETERNALSYNERGY, которые являются эксплойтами SMB, используемыми для взлома уязвимых компьютеров, в то время как SMBTOUCH и ARCHITOUCH являются двумя инструментами NSA, используемыми для разведывательных операций SMB.
Как только червь получил этот начальный плацдарм, он затем использует другой инструмент NSA, DOUBLEPULSAR, для распространения на новые уязвимые машины.
Вспышка WansCry outbreak, затронувшая более 240 000 жертв, также использовала червь SMB для заражения компьютеров и распространения среди новых жертв.
В отличие от EternalRocks, червь WannaCry SMB использовал только ETERNALBLUE для первоначального доступа, а DOUBLEPULSAR - для распространения на новые машины.
EternalRocks более сложный, но (пока!) менее опасный
Как червь EternalRocks менее опасен, чем компонент WannaCry, так как в настоящее время он не содержит вредоносного контента. Это, однако, не означает, что EternalRocks менее сложна. По словам Стампара, на самом деле все наоборот.
Во-первых, EternalRocks гораздо более изобретательнее, чем компонент WannCry SMB-червя. После заражения жертвой червь использует двухэтапный процесс установки с задержкой второго этапа.
На первом этапе EternalRocks получает точку опоры на зараженном хосте, загружает клиент Tor и запускает свой сервер C & C, расположенный в домене .onion, в Dark Web.
Сервер C & C отвечает только по истечении заданного периода времени (в настоящее время 24 часа). Роль этой длительной задержки, скорее всего, состоит в том, чтобы обойти среды тестирования безопасности песочницы и исследователей безопасности, анализирующих червя, так как очень немногие будут ждать целый день для ответа от сервера C & C.
Нет выключателя домена
Кроме того, EternalRocks также использует файлы с идентичными именами для тех, которые используются WannCry SMB-червем, чтобы попытаться обмануть исследователей безопасности при классификации.
Но в отличие от WannaCry, EternalRocks не содержит выключатель домена, ("ахиллесову пяту" WNCry), которую исследователи безопасности использовали для остановки WannaCry outbreak.
По истечении начального периода покоя и ответа сервера C & C EternalRocks переходит на второй этап процесса установки и загружает компонент вредоносной программы второй стадии в виде архива с именем shadowbrokers.zip.
Имя этого файла довольно понятно, так как в нем содержатся эксплойты NSA SMB-centric, просочившиеся группой Shadow Brokers в апреле 2017 года.
Затем червь запускает процесс быстрого IP-сканирования и пытается подключиться к случайным IP-адресам.
EternalRocks можно быть получить в одно мгновение
Из-за своего более широкого арсенала эксплойтов, отсутствия выключателя домена и из-за его начального покоя EternalRocks может представлять серьезную угрозу для компьютеров с уязвимыми портами SMB, которые открыты в Интернет, если его автор когда-либо решит использовать оружие в качестве червя Ransomware, банковские трояны, RAT или что-то еще.
На первый взгляд, червь представляет собой эксперимент или автор вредоносного ПО, выполняющий тесты и настраивающий будущую угрозу.
Это, однако, не означает, что EternalRocks безвреден. Компьютеры, зараженные этим червем, управляются с помощью команд сервера C & C, и владелец червя может использовать этот скрытый канал связи для отправки новых вредоносных программ на компьютеры, ранее зараженные EternalRocks.
Кроме того, DOUBLEPULSAR, имплантат NSA с функциями backdoor, продолжает работать на компьютерах, зараженных EternalRocks. К сожалению, автор червя не предпринял никаких мер для защиты имплантата DOUBLEPULSAR, который работает в незащищенном состоянии по умолчанию, то есть другие участники угрозы могут использовать его как черный ход для машин, зараженных EternalRocks, отправив свои собственные вредоносные программы на эти компьютеры.
IOC и дополнительная информация о процессе заражения червя доступны в репозитории Stampar GitHub, созданном несколько дней назад.
Свободный для всех SMB
В настоящее время выполняются множественные действия на компьютерах с более старыми и незагруженными версиями SMB-сервисов. Системные администраторы уже заметили и начали исправлять уязвимые компьютеры или отключать старый протокол SMBv1, постепенно уменьшая число уязвимых машин, которые могут заразить EternalRocks.
Кроме того, вредоносные программы, такие как Adylkuzz, также закрывают порты SMB, предотвращая дальнейшую эксплуатацию от других угроз, также способствуя сокращению числа потенциальных целей для EternalRocks и других вредоносных программ для SMB-охоты. В отчетах от Forcepoint, Cyphort и Secdo описаны другие угрозы, в настоящее время предназначенные для компьютеров с портами SMB.
Тем не менее, чем быстрее системные администраторы исправят свои системы, тем лучше. «Червь мчится наперегонки с администраторами, чтобы заразить машины до того, как они исправят ошибку», - сказал Стампар в разговоре с Bleeping Computer. «После заражения он может использовать оружие в любое время, независимо от позднего патча».
перевод статьи с форума Bleepingcomputer.com
https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/
Существование червя впервые обнаружилось в среду, после того, как оно заразило приманку SMB Мирослава Стампара, члена правительства Хорватии CERT, и создателя средства sqlmap, используемого для обнаружения и использования недостатков SQL-инъекций.
EternalRocks использует семь инструментов NSA
Червь, который Stampar назвал EternalRocks на основе свойств исполняемого файла червя, найденных в одном образце, работает с использованием шести SMB-ориентированных инструментов NSA, чтобы заразить компьютер с портами SMB, выставленными онлайн. Это ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE и ETERNALSYNERGY, которые являются эксплойтами SMB, используемыми для взлома уязвимых компьютеров, в то время как SMBTOUCH и ARCHITOUCH являются двумя инструментами NSA, используемыми для разведывательных операций SMB.
Как только червь получил этот начальный плацдарм, он затем использует другой инструмент NSA, DOUBLEPULSAR, для распространения на новые уязвимые машины.
Вспышка WansCry outbreak, затронувшая более 240 000 жертв, также использовала червь SMB для заражения компьютеров и распространения среди новых жертв.
В отличие от EternalRocks, червь WannaCry SMB использовал только ETERNALBLUE для первоначального доступа, а DOUBLEPULSAR - для распространения на новые машины.
EternalRocks более сложный, но (пока!) менее опасный
Как червь EternalRocks менее опасен, чем компонент WannaCry, так как в настоящее время он не содержит вредоносного контента. Это, однако, не означает, что EternalRocks менее сложна. По словам Стампара, на самом деле все наоборот.
Во-первых, EternalRocks гораздо более изобретательнее, чем компонент WannCry SMB-червя. После заражения жертвой червь использует двухэтапный процесс установки с задержкой второго этапа.
На первом этапе EternalRocks получает точку опоры на зараженном хосте, загружает клиент Tor и запускает свой сервер C & C, расположенный в домене .onion, в Dark Web.
Сервер C & C отвечает только по истечении заданного периода времени (в настоящее время 24 часа). Роль этой длительной задержки, скорее всего, состоит в том, чтобы обойти среды тестирования безопасности песочницы и исследователей безопасности, анализирующих червя, так как очень немногие будут ждать целый день для ответа от сервера C & C.
Нет выключателя домена
Кроме того, EternalRocks также использует файлы с идентичными именами для тех, которые используются WannCry SMB-червем, чтобы попытаться обмануть исследователей безопасности при классификации.
Но в отличие от WannaCry, EternalRocks не содержит выключатель домена, ("ахиллесову пяту" WNCry), которую исследователи безопасности использовали для остановки WannaCry outbreak.
По истечении начального периода покоя и ответа сервера C & C EternalRocks переходит на второй этап процесса установки и загружает компонент вредоносной программы второй стадии в виде архива с именем shadowbrokers.zip.
Имя этого файла довольно понятно, так как в нем содержатся эксплойты NSA SMB-centric, просочившиеся группой Shadow Brokers в апреле 2017 года.
Затем червь запускает процесс быстрого IP-сканирования и пытается подключиться к случайным IP-адресам.
EternalRocks можно быть получить в одно мгновение
Из-за своего более широкого арсенала эксплойтов, отсутствия выключателя домена и из-за его начального покоя EternalRocks может представлять серьезную угрозу для компьютеров с уязвимыми портами SMB, которые открыты в Интернет, если его автор когда-либо решит использовать оружие в качестве червя Ransomware, банковские трояны, RAT или что-то еще.
На первый взгляд, червь представляет собой эксперимент или автор вредоносного ПО, выполняющий тесты и настраивающий будущую угрозу.
Это, однако, не означает, что EternalRocks безвреден. Компьютеры, зараженные этим червем, управляются с помощью команд сервера C & C, и владелец червя может использовать этот скрытый канал связи для отправки новых вредоносных программ на компьютеры, ранее зараженные EternalRocks.
Кроме того, DOUBLEPULSAR, имплантат NSA с функциями backdoor, продолжает работать на компьютерах, зараженных EternalRocks. К сожалению, автор червя не предпринял никаких мер для защиты имплантата DOUBLEPULSAR, который работает в незащищенном состоянии по умолчанию, то есть другие участники угрозы могут использовать его как черный ход для машин, зараженных EternalRocks, отправив свои собственные вредоносные программы на эти компьютеры.
IOC и дополнительная информация о процессе заражения червя доступны в репозитории Stampar GitHub, созданном несколько дней назад.
Свободный для всех SMB
В настоящее время выполняются множественные действия на компьютерах с более старыми и незагруженными версиями SMB-сервисов. Системные администраторы уже заметили и начали исправлять уязвимые компьютеры или отключать старый протокол SMBv1, постепенно уменьшая число уязвимых машин, которые могут заразить EternalRocks.
Кроме того, вредоносные программы, такие как Adylkuzz, также закрывают порты SMB, предотвращая дальнейшую эксплуатацию от других угроз, также способствуя сокращению числа потенциальных целей для EternalRocks и других вредоносных программ для SMB-охоты. В отчетах от Forcepoint, Cyphort и Secdo описаны другие угрозы, в настоящее время предназначенные для компьютеров с портами SMB.
Тем не менее, чем быстрее системные администраторы исправят свои системы, тем лучше. «Червь мчится наперегонки с администраторами, чтобы заразить машины до того, как они исправят ошибку», - сказал Стампар в разговоре с Bleeping Computer. «После заражения он может использовать оружие в любое время, независимо от позднего патча».
перевод статьи с форума Bleepingcomputer.com
https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.