最近発見されたワーム EternalRocks にはキル スイッチがなく、感染力が非常に強いです。 NSA の漏洩ツールを悪用し、ランサムウェア、バンキング トロイの木馬、または RAT によって急速に武器化される可能性があります。
過去 10 日間で世界中に大混乱をもたらした多数のランサムウェア攻撃の後、新種のマルウェアである WannaCry が「 EternalRocks」はセキュリティ研究者のミロスラフ・スタンパー氏によって特定されました。このウイルスは、水曜日に感染した Windows 7 ハニーポットのサンプルから同氏によって発見されました。
その元の名前は「MicroBotMassiveNet」で、Stampar は「DoomsDayWorm」と名付けました。 EternalRocks は、Taskhost のプロパティの下に製品名としてリストされています。
EternalRocks は、WannaCry が攻撃に使用する EternalBlue を含む、リーク内のすべての SMB エクスプロイトを使用して拡散します。 EternalRocks は EternalBlue を使用するだけでなく、EternalChampion、EternalRomance、EternalSynergy に加え、ArchiTouch、SMBTouch、DoublePulsar カーネル エクスプロイトも使用します。
EternalRocks は自己複製型マルウェアであり、はるかに多くの脅威が含まれています。 WannaCryより凶悪。このウイルスは、いくつかの SMB (サーバー メッセージ ブロック) の脆弱性を介して拡散し、EtnernalBlue として知られる NSA ツールを使用して、Windows を通じてあるコンピュータから次のコンピュータに感染します。
関連項目: WannaCry やその他のランサムウェア攻撃から身を守る方法
EternalRocks について知っておくべき重要な点がいくつかあります:
ハニーポットは、情報システムの不正使用を試みるハッカーを引き寄せ、検出し、逸らすための罠として機能するように設定されたコンピュータ セキュリティ メカニズムです。サイバー攻撃者を意図的に関与させ、欺くことによってインターネット上で実行される悪意のあるアクティビティを識別します。
EternalRocks との違いはです。 >WannaCry?
EternalRo ですが cks は同じルートと弱点を使用して Windows 対応システムに感染しますが、NSA から流出した WannaCry と比較して 7 つのハッキング ツールすべてを使用すると考えられているため、はるかに危険であると言われています。
WannaCry マルウェアは、たった 2 つの NSA ツールを使用して、150 か国、世界中の 240,000 台以上のマシンに影響を及ぼし、大惨事を引き起こしました。したがって、7 つの NSA ツールを使用する EternalRocks が何ができるか想像できます。
「DoomsDayWorm」のユニークな特徴は、バックドアを使用して追加のダウンロードを行う前に、24 時間静かに待機することです。コマンド アンド コントロール サーバーからのマルウェア。セキュリティ ブロガーによって発見されたキルスイッチのおかげで拡散が阻止された WannaCry ランサムウェアとは異なります。
最初の段階で、EternalRocks は C&C (コマンド アンド コントロール) 通信チャネルとして TOR をインストールします。第 2 段階は、24 時間が経過し、C&C サーバーがshadowbrokers.zip で応答すると開始されます。次に、ファイルを解凍し、インターネットの開いている 445 SMB ポートのランダム スキャンを開始します。
TOR とは何ですか?
どこにでも存在する目に見えない目を閉じるソフトウェア
TOR は、ユーザーが匿名で Web を閲覧できるようにするソフトウェアです。 TOR は、ユーザー アクティビティに関する情報を隠すために使用されるオニオン ルーティングと呼ばれる技術を使用しているため、当初はオニオン ルーターと呼ばれていました。 TOR は識別とルーティングを分離し、IP アドレスを含むデータを暗号化することでインターネット アクティビティの追跡をより困難にします。
C&C (コマンド アンド コントロール) 通信チャネルとは何ですか?
C&C サーバーまたは C2 とも呼ばれるコマンド アンド コントロール サーバーは、攻撃者がターゲット ネットワーク内の侵害されたシステムとの通信を維持するために使用するコンピューターです。
7 つの NSA ツールEternalRocks が使用する ShadowBrokers によって漏洩:
EternalBlue — ネットワークにアクセスするために使用される SMB1 および SMB2 エクスプロイト
EternalRomance — Windows XP をターゲットとするリモート SMB1 ネットワーク ファイル サーバー エクスプロイト、Server 2003、Vista、Windows 7、Windows 8、Server 2008、および Server 2008 R2
EternalChampion — SMBv2 エクスプロイト ツール
EternalSynergy — 機能する可能性がある SMB3 に対するリモート コード実行エクスプロイト
上記の 4 つのツールは、脆弱な Windows コンピュータを侵害するように設計されています。
SMBTouch — SMB 偵察ツール
ArchTouch — SMB 偵察ツール
上記 2 つのツールはスキャンに使用されます
DoublePulsar — ランサムウェアのインストールに使用されます。
同じネットワーク上で、あるコンピュータから別のコンピュータにワームを拡散するのに役立ちます。
WannaCry ランサムウェアは、EternalBlue やバックドアの DoublePulsar エクスプロイトを使用する唯一のマルウェアではありません。 Adylkuzz として知られる暗号通貨マイナーが、感染したマシンで仮想通貨を鋳造しています。同様の攻撃ベクトルを通じて拡散する別のマルウェアは、UIWIX として知られています。
良い点
EternalRocks に関する報告はありません。武器化されたということ。ランサムウェアなどの悪意のあるペイロードは報告されていません。
悪い点
SMB パッチの影響が後で適用されるため、マシンは EternalRocks に感染します。ワームは、DOUBLEPULSAR NSA ツールを介してリモートからアクセスできる状態になっています。 EternalRocks が残したバックドア トロイの木馬 DOUBLEPULSAR インストールは、常にハッカーにドアを開けたままにしています。
そのような攻撃から安全にするにはどうすればよいですか?
一般公開されている SMB ポートへの外部アクセスをブロックします。インターネット
- すべての SMB 脆弱性にパッチを適用する
- C&C サーバーへのアクセスをブロックし、Torproject.org へのアクセスをブロックする
- 新しく追加されたスケジュールされたタスクを監視する
- Windows OS を更新します
- ウイルス対策ソフトウェアをインストールして更新します
- システム ファイアウォールをインストールまたはアクティブにして、疑わしいリンクとシステムの間の障壁を維持します
- 明らかな設定や単純なパスワードは避けてください。アルファベットと数字を組み合わせて使ってみてください。大文字と小文字を組み合わせるのも、より安全な方法です。
Windows の海賊版は使用しないでください。海賊版を使用している場合、システムが感染しやすくなります。正規バージョンの Windows OS をインストールして使用することをお勧めします。
読み取り: 0
