公司新闻
针对漏洞攻击的WannaCry勒索软件还未完全平息,克罗地亚安全专家Miroslav Stampar于2017年5月17日首次发现又一个利用Windows SMB文件共享协议中的漏洞进行传播的蠕虫病毒--EternalRocks蠕虫病毒,国内命名为“永恒之石”。好听的名字掩盖不了它的丑恶行径!金山安全专家早已针对Windows SMB文件共享协议中的漏洞防御形成了安全解决方案。此方案中,金山安全借助安全大数据分析能力和广泛的客户端安装数量,在全球安全厂商中首次向使用或疑似使用相关漏洞的27个恶意软件发出了全网搜捕,并且对未知的恶意软件也形成了有效的防御方案。金山安全的专家说:“兵来将挡,水来土掩。使用金山安全产品的用户完全可以不用紧张。”
一、“永恒之石”介绍
EternalRocks蠕虫病毒类似于勒索者病毒WannaCry,也是利用Windows SMB文件共享协议中的漏洞进行传播,不过这次EternalRocks蠕虫病毒用了7个NSA武器库中的恶意工具,而之前的WannaCry仅用了两个,大大提高了传播能力。受EternalRocks蠕虫病毒侵害后的主机会加入到僵尸网络中,接收来自位于暗网中的C&C服务器的指令,由于感染后的机器还会安装NSA武器库中的DoublePulsar后门,所以其它攻击者也可以利用这个后门安装其它恶意软件。
EternalRocks主要通过已公开的4个SMB漏洞利用工具(ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE和ETERNALSYNERGY)、1个后门工具(DOUBLEPULSAR)和2个漏洞扫描工具(ARCHITOUCH和SMBTOUCH)来实现一系列渗透攻击。
EternalRocks蠕虫病毒的攻击过程分为两个阶段:
第一阶段是潜伏期(目前潜伏时间为24小时),主要工作是准备运行环境和与暗网中的C&C服务器通信,接收下一步指令,接收到服务端的回应之后进入第二阶段。
第二阶段主要是下载NSA泄露的工具,接着利用这些工具进行渗透攻击,感染其它主机。 通过Architouch和Smbtouch漏洞扫描工具扫描网络上的其它主机是否开放445端口,有无漏洞,若有则通过漏洞利用工具(EternalBlue、EternalSynergy、EternalRomance和EternalChampion)攻击该主机,攻击成功后,目标主机也会进入第一阶段,加入到僵尸网络中,接着继续攻击其它主机。最终感染EternalRocks蠕虫病毒的主机会呈指数级增长。
1、病毒释放的文件路径如下:
c:\Program Files\Microsoft Updates\SharpZLib.zip
c:\Program Files\Microsoft Updates\svchost.exe
c:\Program Files\Microsoft Updates\installed.fgh
c:\Program Files\Microsoft Updates\ICSharpCode.SharpZipLib.dll
c:\Program Files\Microsoft Updates\Microsoft.Win32.TaskScheduler.dll
c:\Program Files\Microsoft Updates\SharpZLib\
c:\Program Files\Microsoft Updates\temp\tor.zip
c:\Program Files\Microsoft Updates\temp\Tor\
c:\Program Files\Microsoft Updates\required.glo
c:\Program Files\Microsoft Updates\taskhost.exe
c:\Program Files\Microsoft Updates\TaskScheduler.zip
c:\Program Files\Microsoft Updates\TaskScheduler\
c:\Program Files\Microsoft Updates\torunzip.exe
2、样本信息截图如下:
第一阶段的UpdateInstaller.exe: 第二阶段的taskhost.exe:
EternalRocks蠕虫病毒会利用计划任务来自启动。通过打开开始菜单->控制面板->系统和安全->管理工具中的计划任务->任务计划程序库->Microsoft->Windows可以进行查看,病毒会创建ServiceHost和TaskHost两个任务计划,在系统启动后、登录后和指定时间启动。
第二阶段释放的攻击文件
3、释放文件、攻击工具与漏洞编号对照表
二、金山安全向全网发布27个恶意软件搜捕令
目前已经发现并公开的共有27个恶意软件及其变种,具有使用或疑似使用上述7个漏洞工具、扫描工具及后门工具展开攻击的可能性。 经金山安全大数据中心专家对相关样本是否在中国有分布、分布在哪些区域进行了严密的大数据分析与判定。截止5月25日11时,中国已有6省市存在与“永恒之石”蠕虫病毒相关的恶意软件及其变种的用户环境的发现,其中MD5值分别为198f27f5ab972bfd99e89802e40d6ba7、3771b97552810a0ed107730b718f6fe1、5f714b563aafef8574f6825ad9b5a0bf、994bd0b23cce98b86e58218b9032ffab的四种恶意软件,在中国区域的终端上有批量或个别的存在与潜伏。
“永恒之石”中国区域的重灾区为江苏、浙江、广东、广西、陕西、台湾六省市
(数据截止2017年5月25日11时)
来自金山安全的专家说:金山安全大数据中心仍然在严密监控与“永恒之石”相关联的恶意软件的所有新生样本及相关样本的扩散路径。关于“永恒之石”蠕虫病毒在中国的区域分布、感染量等关键数据,金山安全将在分析后的第一时间,向国家网信办、国家计算机病毒应急处理中心等机构报告;此外,金山安全愿意与所有从事网关防御、终端检测防御的网络安全友商协同动作,共同推动“永恒之石”蠕虫病毒在全中国的快速防御。
三、用户防范建议
用户可以尽快安装系统补丁,由于EternalRocks蠕虫病毒是通过漏洞传播的,安装MS17-010补丁可以避免被通过网络的方式感染此类病毒。金山安全V8+的漏洞补丁安装工具可以及时帮助用户安装此补丁。
金山安全已基本收集到全部相关样本并第一时间加入到了云库, 安装V8+的用户及时进行更新就可有效防范和查杀此类威胁。
此外,金山安全V8+终端安全产品还内置了基于HIPS的主动防御机制,能有效对抗此类通过漏洞攻击的蠕虫病毒。
四、尽快建立有准备的立体防御体系
这次的“永恒之蓝”和“永恒之石”会使网络病毒安全防范进入一个新的常态,“网关防护+高危漏洞识别+终端安全防护”将成为主要防御手段。
金山VGM新一代防毒墙是一款专注于防范网络恶意代码、网络恶意行为威胁的网关产品。VGM新一代防毒墙从OSI的多个层次进行处理。在网络层和传输层过滤利用漏洞的动态攻击数据(蠕虫),在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP、IMAP、SMB等)传输的静态威胁代码(病毒、木马)。对于利用Windows SMB文件共享协议中的漏洞进行传播的蠕虫病毒,比如“永恒之蓝”“永恒之石”类的威胁可以起到有效防范。
金山安全一体化平台是一款应对APT(高级持续性威胁)攻击和未知威胁攻击的设备级鉴定产品。其目的是用于检测和分析一切可能用于APT(高级可持续威胁)攻击和未知威胁攻击的文件,它利用虚拟加载执行、动态监测进行深度安全分析,从而有效检测0day格式溢出应对高级安全威胁,深度提取可执行样本行为针,对未知病毒进行判别,提供详细的文件结构及行为报告。可进行高危漏洞检测,支持检测已知和未知的漏洞:对于特定漏洞可以给出相关的漏洞编号(例如CVE编号)。对于漏洞同时支持静态和动态两种方式进行检测。
安全防范部署示意图
金山V8+终端安全系统是新一代企业终端安全软件,可动态监测、实时处理、全网追溯用户网络中的威胁,满足国内企业用户日益复杂的含PC、移动、虚拟桌面在内的多类终端的安全防护需求。该产品成熟的“云+端+边界”的安全模式,可支持企业用户有效达成对“永恒之石”蠕虫病毒的终端安全防护。