使用与WannaCry Ransomware相同的漏洞时,EternalRocks攻击传播

时间:2020-01-13  author:皇悃暗  来源:欧洲杯官网  浏览:73次  评论:11条

在本月早些时候感染了150多个国家的30多万台计算机的WannaCry勒索软件攻击之后, 发现了使用美国国家安全局攻击的 。

最新的攻击,称为EternalRocks,是由黑客组织Shadow Brokers泄露的几个NSA攻击的混合体 - 与发布用于传播WannaCry的EternalBlue漏洞的同一组。

阅读:

EternalRocks,也被称为MicroBotMassiveNet, 由安全研究员兼克罗地亚政府计算机应急准备小组(CERT)成员Miroslav Stampar 的。 自5月初以来,在WannaCry蔓延之前以及4月开始使用NSA攻击开始之后,人们认为这次攻击已经开始。

在他的GitHub帐户上发布的一份报告中,Stampar称EternalRocks目前没有有效载荷,这意味着它目前没有执行任何恶意行为。 它只是通过一个24小时的两阶段过程来扩散自己。

攻击的第一阶段感染了一个尚未修补的易受攻击的Windows机器来修复MS17-010漏洞 - WannaCry利用的漏洞最初是由微软在3月份后修补的。

在第一阶段,EternalRocks将其组件下载到受感染的设备上。 它还下载了Tor浏览器,这是一种匿名网络浏览器,通常用于连接无法通过标准浏览器访问的“黑暗网站”网站。

第二阶段在24小时后开始。 在此阶段,攻击从.onion域下载,Tor浏览器可以访问。 EternalRocks然后开始寻找可以连接并传播的其他开放端口。

阅读:

Stampar表示,EternalRocks使用Shadow Brokers泄露的所有Microsoft服务器消息块(SMB)漏洞进行传播,包括EternalBlue,EternalChampion,EternalRomance,EternalSynergy,ArchiTouch,SMBTouch和DoublePulsar。

Heimdal Security的安全传播者Andra Zaharia 中 ,虽然EternalRocks使用了与WannaCry相同的一些漏洞,但“它显示了利用漏洞的长期意图”并且“似乎专注于建立一个漏洞”为未来的攻击发射垫。“

云安全公司RedLock的首席执行官兼联合创始人Varun Badhwar告诉国际商业时报,“像云这样的攻击可以在云中传播得更快,组织无法了解他们的工作负载或网络流量。”

Badhwar警告说,“不再是'如果',而是'何时'任何特定组织将面临安全事件”,并说“每个人都必须在假设他们有一天会被破坏的情况下运作,并提前为这些情况做好准备“通过使用适当的安全协议来防止攻击。


最近更新

本类推荐

本类排行