背景介绍
安全研究员在搭建的SMB蜜罐中,发现新的蠕虫正在通过SMB漏洞传播。此病毒主要利用了之前泄露的NAS工具包中的7种工具,进行攻击。其中包括4个漏洞利用工具、2个漏洞扫描工具、1个后门。
此病毒通过分析发现其工作流程有两个阶段:
第一阶段病毒UpdateInstaller.exe运行之后下载后续需要用到的.net运行环境、访问暗网需要用到的tor组件等文件,释放后门程序,并设置为计划任务驻留系统。之后等待24小时 才会下载阶段二的程序。
第二阶段样本运行之后从自身资源shadowbrokers.zip中释放出后续攻击需要用到的工具,然后开始攻击。攻击流程是,首先利用扫描工具扫描互联网中存在漏洞的机器,之后使用漏洞利用工具攻击存在漏洞的机器,再利用后门植入工具 把第一阶段的UpdateInstaller.exe 加载到 被攻击的机器中。之后被攻击机器以同样的方式继续攻击网络中的其它机器,并且预留后门在机器中。
此病毒和WannaCry相比,并没有造成太大危害,但是利用漏洞更多,而且隐蔽性更强,未来如果一旦具备恶意功能,后果不堪设想。
解决方法:
(1)更新相关补丁
(2)关闭445端口
(3)安装杀软
原文始发于微信公众号(中泊研安全应急响应中心):“永恒之石”蠕虫病毒
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论