Krimbi EternalRocks i zbuluar së fundmi nuk ka ndërprerës vrasësi dhe është shumë infektues. Ai shfrytëzon mjetet e rrjedhura të NSA-së dhe mund të armatoset me shpejtësi me ransomware, trojanë bankar ose RAT.
Pas një mori sulmesh ransomware që shkaktuan kërdi në mbarë botën në 10 ditët e fundit nga WannaCry, një lloj i ri malware ". EternalRocks” është identifikuar nga studiuesi i sigurisë Miroslav Stampar. Ai u zbulua nga ai të mërkurën nga një mostër në honeypot-in e tij Windows 7, kur u infektua.
Emri i tij origjinal është "MicroBotMassiveNet" dhe Stampar e ka quajtur "DoomsDayWorm". EternalRocks renditet si një emër produkti nën vetitë e Taskhost.
EternalRocks përhapet duke përdorur të gjitha shfrytëzimet e SMB në rrjedhje, duke përfshirë EternalBlue, të përdorur nga WannaCry në sulme. EternalRocks jo vetëm që përdor EternalBlue, por përdor gjithashtu EternalChampion, EternalRomance dhe EternalSynergy, si dhe shfrytëzimin e kernelit të ArchiTouch, SMBTouch dhe DoublePulsar.
EternalRocks është malware vetë-përsëritës, ai përfshin shumë më tepër kërcënime dhe është. më e neveritshme se WannaCry. Ai përhapet nëpërmjet disa dobësive SMB (Blloku i Mesazheve të Serverit) dhe përdor mjetin NSA të njohur si EtnernalBlue për t'u përhapur nga një kompjuter në tjetrin përmes Windows.
Shih gjithashtu: Si të jesh i sigurt nga WannaCry dhe sulme të tjera Ransomware.
Disa gjëra të rëndësishme që duhet të dini për EternalRocks:
Një honeypot është një mekanizëm sigurie kompjuteri i krijuar për të vepruar si një kurth për të tërhequr, zbuluar dhe shmangur hakerat që përpiqen të përdorin të paautorizuar sistemet e informacionit. Ai identifikon aktivitetet me qëllim të keq të kryera në internet duke përfshirë dhe mashtruar qëllimisht sulmuesit kibernetikë.
Si ndryshon EternalRocks nga >WannaCry?
Edhe pse EternalRo cks përdor të njëjtën rrugë dhe dobësi për të infektuar sistemet e aktivizuara me Windows, thuhet se është shumë më e rrezikshme, pasi supozohet se përdor të shtatë mjetet e hakerimit në krahasim me WannaCry, të cilat u zbuluan nga NSA.
Malware WannaCry, me vetëm dy mjete NSA, shkaktoi katastrofë duke prekur 150 vende dhe mbi 2,40,000 makina në të gjithë globin. Pra, ne mund të imagjinojmë se çfarë mund të bëjë EternalRocks pasi përdor shtatë mjete NSA.
Veçoria unike e "DoomsDayWorm" është se ai pret në heshtje për një periudhë prej njëzet e katër orësh, përpara se të përdorë derën e pasme për të shkarkuar shtesë. malware nga serveri i komandës dhe kontrollit. Ndryshe nga ransomware WannaCry, përhapja e të cilit u ndal për shkak të një ndërprerësi kill të zbuluar nga një bloger sigurie.
Gjatë fazës së parë, EternalRocks instalon TOR si një kanal komunikimi C&C (Command-and-Control). Faza e dytë fillon pasi të kenë kaluar 24 orë kur serveri C&C përgjigjet me shadowbrokers.zip. Më pas shpaketon skedarin dhe fillon një skanim të rastësishëm për një portë të hapur 445 SMB të internetit.
Çfarë është TOR?
Softuer që mbyll sytë e padukshëm siç janë kudo
TOR është një softuer që lejon përdoruesit të shfletojnë ueb në mënyrë anonime. TOR fillimisht u quajt The Onion Router, pasi përdor një teknikë të quajtur onion Routing që përdoret për të fshehur informacionin rreth aktivitetit të përdoruesit. TOR e bën më të vështirë gjurmimin e aktivitetit të internetit duke ndarë identifikimin dhe drejtimin, ai kodon të dhënat, duke përfshirë adresën IP.
Çfarë është kanali i komunikimit C&C (Command-and-Control)?
Serverët e komandës dhe kontrollit të quajtur gjithashtu serverë C&C ose C2 janë kompjuterë të përdorur nga sulmuesit për të mbajtur komunikimin me sistemet e komprometuara brenda një rrjeti të synuar.
Shtatë mjetet e NSA zbuluar nga ShadowBrokers të përdorura nga EternalRocks:
EternalBlue — shfrytëzimi SMB1 dhe SMB2 përdoret për t'u futur në rrjet
EternalRomance — një shfrytëzim i largët i serverit të skedarëve të rrjetit SMB1 që synon Windows XP , Server 2003, Vista, Windows 7, Windows 8, Server 2008 dhe Server 2008 R2
EternalChampion — mjet shfrytëzimi SMBv2
EternalSynergy — një shfrytëzim i ekzekutimit të kodit në distancë kundër SMB3 që funksionon potencialisht kundër sistemeve operative.
Katër veglat e mësipërme janë krijuar për të kompromentuar kompjuterët e cenueshëm Windows.
SMBTouch — Mjet zbulimi SMB
ArchTouch — Mjet zbulimi SMB
SMBTouch — Mjet zbulimi SMB
ArchTouch — Mjet i zbulimit SMB
Dy mjetet e mësipërme përdoren për skanim për portet e hapura SMB në rrjetin publik.
DoublePulsar — përdoret për të instaluar ransomware
Ndihmon në përhapjen e krimbit nga një kompjuter në tjetrin në të njëjtin rrjet.
WannaCry ransomware nuk është i vetmi malware që përdor EternalBlue ose shfrytëzimin e dyerve të pasme, DoublePulsar. Një miner i kriptomonedhave i njohur si Adylkuzz po prodhon monedha virtuale në makinat e infektuara. Një tjetër malware që përhapet përmes një vektori të ngjashëm sulmi njihet si UIWIX.
Pjesa e mirë
Nuk ka raportime për EternalRocks. të ketë qenë i armatosur. Nuk raportohet asnjë ngarkesë me qëllim të keq – si ransomware.
Pjesa e keqe
Meqë efektet arnime SMB aplikohen më vonë, makinat e infektuara nga EternalRocks krimbat lihen të aksesueshëm nga distanca nëpërmjet mjetit DOUBLEPULSAR NSA. Instalimi i Trojan DOUBLEPULSAR me dyer të pasme, i lënë pas nga EternalRocks, e mban gjithmonë derën hapur për hakerat.
Çfarë duhet të bëni për të qenë të sigurt nga sulme të tilla?
Blloko aksesin e jashtëm në portet SMB për publikun. internet
- Pastroni të gjitha dobësitë e SMB-ve
- Blloko aksesin te serverët C&C dhe blloko qasjen në Torproject.org
- Monitoro për çdo detyrë të planifikuar të shtuar rishtazi
- Përditësoni sistemin tuaj të Windows
- Instaloni dhe përditësoni antivirusin tuaj
- Instaloni ose aktivizoni murin e zjarrit të sistemit për të mbajtur një pengesë midis lidhjeve të dyshimta dhe sistemit tuaj
- Përpiquni të shmangni cilësimet e dukshme dhe fjalëkalimet e thjeshta. Provoni të përdorni një kombinim të alfabeteve dhe numrave. Një kombinim i shkronjave të mëdha dhe të vogla është gjithashtu një qasje më e sigurt.
Mos përdorni versione pirate të Windows, nëse keni një të tillë, sistemi juaj është më i ndjeshëm ndaj infeksionit. Është më mirë të instaloni dhe përdorni një version origjinal të Windows OS.
Lexo: 0
