作者:nana星期三, 五月 24, 20170
如果NSA被洩黑客工具有“戰神金剛”這樣的存在,那必須得是“永恆之石(EternalRocks)”。永恆之藍才用了倆個漏洞。
5月21日,研究人員證實,名為“永恆之石”的新惡意軟件採用了7個在今年4月被影子經紀人黑客團伙放出由NSA開發的漏洞利用。專家將該惡意軟件描述為可突然襲擊的“世界末日”級蠕蟲。
本月初,WannaCry勒索軟件在全球各大學校、醫院和政府機關肆虐,席捲了超30萬臺電腦。這款勒索軟件採用了2個NSA被洩漏洞利用——永恆之藍和雙脈衝星。幾天後,研究人員發現了Adylkuzz——採用相同漏洞利用並創建殭屍網絡以挖掘加密貨幣的新惡意軟件。
如今,“永恆之石”出現。米洛斯拉夫·斯塔姆帕,克羅地亞計算機應急響應小組的一名網絡安全專家,在5月17號的時候,首先發現了該黑客工具大雜燴。對“永恆之石”最早的發現,可以追溯到5月3號,他在GitHub上寫的一篇描述文章( https://github.com/stamparm/EternalRocks)。
“永恆之石”利用了永恆之藍(EternalBlue)、雙脈衝星(DoublePulsar)、永恆鬥士(EternalChampion)、永恆之愛(EternalRomance)、永遠協同(EternalSynergy)、觸摸架構(ArchiTouch)和觸摸SMB(SMBTouch)等安全漏洞,而這些全都是影子經紀人洩露的NSA漏洞利用。斯塔姆帕稱,他是在自己的蜜罐系統被感染後發現的這窩黑客工具。
這堆工具中的大多數,利用的都是PC常用標準文件共享技術Windows服務器消息塊(SMB)中的漏洞,也就是WannaCry得以隱祕快速傳播的途徑。微軟在3月份發佈了這些漏洞的補丁,但很多過時的老舊電腦依然有中招風險。
與警告用戶“您已被勒索軟件綁架”的WannaCry不同,“永恆之石”在計算機上保持安靜低調不顯山露水。
一旦進入系統,它會下載Tor的私有瀏覽器,發送信號到其隱藏服務器。然後,進入等待狀態。24小時內沒有任何動作。但之後,服務器便會響應,開始下載和自我複製動作。這意味著,想要獲取更多信息進行研究的安全專家們,至少要多耗費一天時間。
安全公司Plixer首席執行官邁克爾·帕特森說:“通過延遲通信,惡人試圖更為隱祕。檢測並阻止所有惡意軟件的競賽多年前已經輸了。”
斯塔姆帕稱,“永恆之石”甚至自命名為WannaCry來試圖在安全研究人員面前隱身。與WannaCry變種類似,“永恆之石”同樣去掉了“斷路開關”,因而難以簡單封鎖。
目前為止,“永恆之石”依然靜靜地傳播和感染更多計算機中。斯塔姆帕警告:該蠕蟲可於任何時候被武器化,就像WannaCry勒索軟件在成功感染成千上萬臺電腦後突然鎖定電腦一樣。
有鑑於其隱祕本質,有多少臺電腦已經被“永恆之石”感染尚未可知。它會被武器化成什麼樣子也還不明朗。Plixer稱,該蠕蟲有可能馬上被轉化為針對銀行業的勒索軟件或木馬攻擊。
NSA因對這些漏洞利用留中不發而廣受詬病。17號,國會引入了一項法案,可能會迫使政府將其網絡武器庫移交給獨立審查委員會。
NSA沒有就評論請求做出立即答覆。
相關推薦
