【下载】永恒之石EternalRocks蠕虫病毒影响全球24万台主机 绿盟科技发布应急处置方案

2017年5月17日,克罗地亚安全专家(Miroslav Stampar)发现了一种基于类似WannaCry的蠕虫病毒,也是通过NSA武器库中的漏洞进行传播,他将此病毒命名为EternalRocks。据国外媒体《财富》杂志2017年5月21日报道,EternalRocks影响了大量未安装补丁的Windows7主机,传播速度快,目前已经影响了24万主机。

绿盟科技的安全专家在对其进行分析之后发现,EternalRocks具有病毒的特征,而且能够进行自我传播,其危害性需要引起各单位的重视,本文即是对该蠕虫病毒给出了企业内的应急处置方案。

永恒之石EternalRocks

Eternalrocks由7个攻击载荷组成,包括4个Windows漏洞利用程序、1个后门程序和2个漏洞扫描程序。下面提到的4个漏洞利用均利用了Windows系统 SMB 协议存在的漏洞,涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系统,微软已经发布官方安全补丁MS17-010,对漏洞进行了修复。

功能

模块名

漏洞编号

漏洞利用程序

Eternalblue

Eternalchampion

Eternalromance

Eternalsynergy

Microsoft Windows SMB 远程代码执行漏洞(MS17-010)

CVE-2017-0143

CVE-2017-0144

CVE-2017-0145

CVE-2017-0146

CVE-2017-0147

CVE-2017-0148

后门程序

Doublepulsar

 

扫描程序

Architouch、Smbtouch

 

永恒之石EternalRocks病毒工作流程

  1. 利用SMB的侦察工具smbtouch和architouch扫描开放的SMB端口。
  2. 如果发现SMB端口,利用四个漏洞的利用程序(eternalblue、、eternalchampion、eternalromance、eternalsynergy)通过网络感染受害主机。
  3. 感染eternalrocks后,会下载Tor浏览器(能够访问暗网的浏览器,此网络可避免被追踪,使用常规浏览器无法访问)并下载.NET组件。
  4. Tor会主动连接到一个暗网中的C&C服务器,连接服务器24小时后,会响应的C&C服务器并下载7个SMB漏洞的攻击载荷,通过这种方式,可以躲避沙盒技术的检测。
  5. 感染完成后,EternalRocks蠕虫会继续扫描互联网的开放SMB端口,传播并感染其他主机。

永恒之石EternalRocks病毒特点

  1. 利用多个漏洞 EternalRocks利用了NSA武器库中的4个攻击程序,比WannaCry利用的数量多。
  2. 只感染,不破坏 EternalRocks并未像WannaCry对感染主机的文件进行加密并勒索比特币,仅仅通过网络传播。
  3. 未设置传播开关 EternalRocks并未像WannaCry设置域名开关用于控制病毒传播。
  4. 安装后门 EternalRocks会在被感染的主机上安装Doublepulsar后门,此后门被黑客利用,可以远程控制被感染主机。
  5. 延迟下载攻击载荷 EternalRocks感染主机后,会延迟24小时下载攻击载荷,目的在于拖延安全研究人员的响应时间。

永恒之石EternalRocks处置流程

这里将处置过程细节提要如下,详见附件下载

  • 检测,用户可以通过手动方式,进行本地检查,主要是查看如下目录生成的病毒文件及创建的计划任务

    • C:\Program Files\Microsoft Updates\
    • 2个计划任务ServiceHost和TaskHost
  • 隔离,用户一旦发现应该立即断网,并封锁Windows SMB服务TCP 445端口(针对未打补丁的情况)
  • 修复,按照如下步骤进行病毒手动清除,并安装MS17-010补丁

    • 1.     进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,删除计划任务ServiceHost和TaskHost。
    • 2.     停止以下进程。

      • C:\Program Files\Microsoft Updates\svchost.exe
      • C:\Program Files\Microsoft Updates\taskhost.exe
      • C:\Program Files\Microsoft Updates\torunzip.exe
      • 删除C:\Program Files\Microsoft Updates\目录及其中所有文件
  • 监测,管理员可使用绿盟入侵防御系统NIPS对网络中的攻击报文和Doublepulsar后门连接报文进行阻断,防范病毒进一步扩散

永恒之石EternalRocks蠕虫病毒处置方案

点击这里在线阅读

点击这里下载

发表评论