Технический форум
Вернуться   Технический форум > Общение по интересам > Новости технологий


Ответ
 
Опции темы Опции просмотра
Старый 23.05.2017, 11:47   #1 (permalink)
Технарь
Member
 
Регистрация: 07.01.2008
Сообщений: 39,659
Записей в дневнике: 1
Сказал(а) спасибо: 783
Поблагодарили 834 раз(а) в 404 сообщениях
Репутация: 124544
По умолчанию Новый червь EternalRocks использует сразу 7 эксплойтов из коллекции АНБ

Цитата:
Исследователи безопасности обнаружили новый червь, который распространяется по протоколу SMB. В отличие от шифровальщика WannaCry, угроза использует сразу 7 эксплойтов из арсенала Агентства Национальной Безопасности США (АНБ)

Первые случаи заражения червем были зарегистрированы на прошлой неделе после инфицирования “ловушки для хакеров” исследователя Мирослава Стампара.

EternalRocks использует 7 эксплойтов АНБ

Мирослав назвал червь EternalRocks, основываясь на свойствах исполняемого файла образца. Зловред использует 7 эксплойтов протокола SMB из арсенала АНБ: EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch.

Напомним, что в атаке WannaCry применялись только EternalBlue для взлома уязвимых машин и Doublepulsar для распространения угрозы на другие компьютеры.

eternalrocks-properties.png

EternalRocks - более сложная, но менее опасная угроза

EternalRocks является менее опасной угрозой, чем WannaCry, потому что не несет вредоносной нагрузки. После заражения целевого компьютера, червь использует двухэтапный процесс развертывания с задержкой второй стадии.

На первом этапе EternalRocks загружает клиент сети Tor и запускает свой C&C-сервер, расположенный на домене. onion, в теневой части Интернета.

По истечении заданного периода времени (в настоящее время 24 часа), сервер начинает отвечать на запросы. Роль этой длительной задержки, скорее всего, состоит в обходе механизмов виртуализации угрозы. Совсем немногие эксперты безопасности будут ждать более суток реакции от сервера.

На этот раз без домена-блокировщика

EternalRocks использует файлы с такими же именами, как и SMB-червь шифровальщика WannaCry. Это еще один способ запутать исследователей при классификации угрозы.

В отличие от WannaCry, EternalRocks не имеет "kill switch" домена, блокирующего распространение угрозы.

По истечении начального периода бездействия сервера начинают отвечать на запросы EternalRocks, и наступает второй этап установки. На компьютер жертвы загружается вредоносный архив с именем shadowbrokers.zip.

Имя файла неслучайно - именно в данном архиве содержаться эксплойты протокола SMB, которые были опубликованы хакерской группировкой Shadow Brokers в апреле 2017 года.

Затем червь запускает процесс быстрого сканирования IP и пытается подключиться к случайному IP-адресу.

eternalrocks-exploits1.png

Мгновенное изменение характера атаки


Из-за использования широкого спектра эксплойтов, отсутствия вшитого домена для блокировки распространения и периода бездействия, EternalRocks может представлять серьезную опасность для компьютеров с уязвимыми портами SMB. Автор вредоносной программы может вооружить червь шифровальщиками, банковскими троянами, RAT и другими зловредами.

На первый взгляд, червь представляет собой экспериментальную угрозу, или злоумышленники готовят почву для будущих масштабных атак.

Это, однако, не означает, что EternalRocks безвреден. Компьютеры, зараженные этим червем, управляются с помощью C&C-сервера, и владелец червя может использовать этот скрытый канал связи для отправки новых вредоносных программ на подконтрольные машины.

Кроме того, имплант Doublepulsar с функциями бэкдора продолжает работать в системе, зараженной EternalRocks. К сожалению, автор вредоносной программы не предпринял никаких попыток для защиты импланта, который работает в незащищенном режиме. Это означает, что другие киберпреступники могут распространять собственные вредоносные программы на взломанных компьютерах.

Проблемный SMB

В настоящее время компьютеры со старыми и непропатченными версиями SMB представляют серьезные риски безопасности. Системные администраторы уже предпринимают необходимые меры для отключения старого протокола SMBv1, постепенно уменьшая число уязвимых машин, которые могут инфицироваться EternalRocks.

Кроме того, вредоносные программы, такие как Adylkuzz, также закрывают порты SMB, предотвращая дальнейшую эксплуатацию от других угроз и способствуя сокращению числа потенциальных целей для EternalRocks.
Источник: comss.ru
Технарь вне форума   Ответить с цитированием

Старый 23.05.2017, 11:47
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Подскажу вам, что можно прочитать похожие обсуждения

Windows 7 не сразу отображает новый файл на файловом сервере
Коллекции и сортировка в C#
Достал червь!!!
Чертов червь
Mp3tag 2.44: организация аудио коллекции

Старый 23.05.2017, 11:59   #2 (permalink)
AlexZir
support
 
Аватар для AlexZir
 
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
По умолчанию

При отключении протокола SMBv1 могут возникнуть проблемы с взаимодействием ОС разных поколений, например, на ПК с WinXP или Win7 не смогут без шаманства зайти из Win8-Win10, а ещё многие старые устройства (принтеры, сканеры и т.д.) работают с его использованием, в сети по этому поводу уже стон стоит.
__________________
Убить всех человеков!
AlexZir вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 06:31.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.