新蠕蟲“永恆之石”來勢洶洶：利用NSA七大黑客工具

E安全5月23日WannaCry勒索病毒餘波未平，如今又出現了更變本加厲的EternalRocks（“永恆之石”）新病毒，永恆之石來勢洶洶，竟利用了7個NSA漏洞利用。

根據GitHub上的介紹，“永恆之石”是2017年5月上旬浮出水面的一款網絡蠕蟲（自我複製蠕蟲），目前已知最早的樣本為5月3日的：fc75410aa8f76154f5ae8fe035b9a13c76f6e132077346101a0d673ed9f3a0dd。

這款蠕蟲通過公開的（影子經紀人洩露的NSA工具）SMB漏洞利用（ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY）及相關應用程序（DOUBLEPULSAR、ARCHITOUCH和SMBTOUCH）進行傳播。

E安全官網

“永恆之石”與WannaCry有什麼關聯？

永恆之石蠕蟲利用服務器信息塊（SMB）共享網絡協議中的漏洞，去感染未修復的Windows系統。與WannaCry不同的是，“永恆之石”不會捆綁破壞性的惡意軟件的有效載荷（至少現在不會）。這款病毒不具有“Kill Switch”功能，因此無法被輕易阻止。

WannaCry會提醒受害者遭遇了勒索病毒感染，而“永恆之石”會安靜、隱藏地待在受害者的電腦中。一旦進入電腦，“永恆之石”會下載Tor個人瀏覽器（可用來匿名瀏覽網頁和發送郵件），並向這款蠕蟲的隱藏服務器發送信號。之後，“永恆之石”在接下來的24個小時內不會有任何動作，它會靜靜等待直到服務器響應，開始下載並自我複製。這就意味著，安全專家想要獲取該蠕蟲病毒的更多信息來研究，將會滯後一天。

E安全官網

安全公司Plixer CEO邁克爾·帕特森稱，這款病毒甚至“自稱”WannaCry，試圖向安全研究人員隱藏身份。

根據研究人員對永恆之石的早期分析顯示，這款病毒利用了7個NSA黑客工具，而WannaCry僅僅部署了兩個漏洞進行擴散。

Vectra Networks歐洲、中東和非洲（EMEA）總監馬特·沃姆斯利評論稱，永恆之石是WannaCry群體扔出第二個“重磅”炸彈，因為“永恆之石”更黑暗、更精煉，除了針對的目標群體相同。

在未被發現的情況下，“永恆之石”可以使用SBM文件共享協議，快速傳遍互聯網和私有網絡，迅速感染未打補丁的系統，並且，不依賴用戶點擊網絡釣魚電子郵件進行鏈接。

“永恆之石”更多詳情見：E安全官網

E安全注：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網絡安全媒體和產業服務平臺，每日提供優質全球網絡安全資訊與深度思考。