一個名為「EternalRocks」的最新惡意程式,不僅會攻擊 ShadowBrokers 駭客集團從美國國安局 (NSA) 外流並被惡名昭彰的 WannaCry(想哭)勒索病毒/勒索蠕蟲所利用的 EternalBlue 和 DoublePulsar 兩個漏洞,還會攻擊其他五個由同一駭客集團所外流的漏洞:EternalChampion、EternalRomance、EternalSynergy、ArchiTouch以及SMBTouch。這些都是針對 Microsoft Server Message Block (SMB) 網路資源 (如檔案及印表機) 分享通訊協定的漏洞。
建議企業或個人使用者都該盡速更新修補自己的系統,即刻未雨綢繆,防患未然!
感染目標裝置後,會分兩階段執行安裝程序
EternalRocks 惡意程式最早是由科羅埃西亞電腦緊急應變小組 (CERT) 資安研究員 Miroslav Stampar 所發現,該惡意程式在感染目標裝置後,會分兩階段執行安裝程序。在第一階段,惡意程式會下載 TOR 用戶端 來建立通訊管道,接著再透過該管道與其幕後操縱 (C&C) 伺服器通訊。令人意外的是,該 C&C 伺服器並不會立即做出回應,而是等過了 24 小時之後才回應。這樣的延遲設計,很可能是為了躲避沙盒模擬分析技巧的測試以及資安人員的分析。
一旦 C&C 伺服器開始回應,就會送出一個 ZIP 壓縮檔 (shadowbrokers.zip ),裡面含有 NSA 相關漏洞的攻擊套件。當 EternalRocks 解開壓縮檔之後,就會開始掃瞄網際網路上是否有任何電腦開放了 TCP 445 連接埠,如果有就試圖加以感染。EternalRocks 所用到的某些漏洞在 Microsoft 三月份的 MS17-010 更新當中已經解決。
可藉由蠕蟲元件散布
EternalRocks 能藉由蠕蟲元件散布,因此萬一以後歹徒將該惡意程式變成一種武器,感染 EternalRocks 的電腦就可能會遭遇意想不到的後果。
此外,WannaCry 內建了一個「關閉開關」,當它能夠連線至某個網域時就會自動關閉,因此其疫情才會獲得控制。但 EternalRocks 可沒有這樣的開關,所以一旦爆發疫情,後果可能會更難收拾。
不論企業或個人使用者都該盡速更新修補自己的系統,即刻未雨綢繆,防患未然
如果 WannaCry 帶來的疫情還不能讓人們意識到系統更新修補的重要,那麼這個可能更加危險的最新惡意程式,或許可以提高大家的危機意識。由於 EternalRocks 利用的同樣也是 WannaCry 所用的漏洞,因此不論企業或個人使用者都應趁 EternalRocks 還未出現危險行為之前,盡速更新修補自己的系統。對於像 WannaCry 及 EternalRocks 這樣的惡意程式,預防勝於治療,即刻未雨綢繆,防患未然。
趨勢科技解決方案
趨勢科技 趨勢科技Deep Security™ 和 趨勢科技 Vulnerability Protection 漏洞防護 都能提供 虛擬修補來防範企業端點因未修補的漏洞而遭到攻擊。趨勢科技 OfficeScan™的漏洞防護功能,也能在修補程式部署之前防止端點裝置遭到已知及未知的漏洞攻擊。
趨勢科技 Deep Discovery™ 能夠偵測、深入分析並主動回應漏洞攻擊,利用特殊的引擎、客製化 沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋網路攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測類似攻擊。
原文出處:EternalRocks Emerges, Exploits Additional ShadowBroker Vulnerabilities
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
