99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源


CNNVD關(guān)于“永恒之石”病毒的預(yù)警報告

2017-05-26 13:44:54 漏洞播報 0個評論

近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于“永恒之石”(EternalRocks)病毒的分析報告。該病毒與不久前廣泛傳播的“WannaCry”勒索病毒類似,均利用了今年4月方程式組織泄露的漏洞利用工具進(jìn)行傳播?!坝篮阒备腥敬嬖诼┒吹闹鳈C(jī)之后,會潛伏下來,等待遠(yuǎn)程C&C(命令與控制)服務(wù)器的指令,比“WannaCry”病毒更加隱蔽,不易察覺。

國家信息安全漏洞庫(CNNVD)對此進(jìn)行了分析研究,情況如下:

一、“永恒之石”背景

“永恒之石”最早由克羅地亞安全專家Miroslav Stampar發(fā)現(xiàn)和命名,并在5月17日通過推特發(fā)布相關(guān)信息。

“永恒之石”主要借鑒了7款針對微軟Windows系統(tǒng)漏洞的利用工具進(jìn)行傳播擴(kuò)散(見表1)。2017年4月14日,黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布了黑客組織Equation Group(方程式組織)的部分泄露文件,其中即包括上述7款漏洞利用工具。

二、“永恒之石”技術(shù)特點及危害

(一)技術(shù)特點

“永恒之石”掃描SMB端口,利用Windows操作系統(tǒng)在445端口的安全漏洞(CNNVD-201703-721 ~ CNNVD-201703-726)通過網(wǎng)絡(luò)感染受害主機(jī),進(jìn)而使其主動下載Tor瀏覽器并與暗網(wǎng)中的C&C服務(wù)器建立通信,連接服務(wù)器24小時后,可在躲避沙盒技術(shù)檢測的情況下,主動下載相關(guān)漏洞利用工具,進(jìn)而感染其他主機(jī)。同時該病毒會從C&C服務(wù)器接收其他指令,可能進(jìn)行其他攻擊。

a)“永恒之石”利用了方程式組織泄露的7個利用工具,與“WannaCry”相比更為復(fù)雜;

b)“永恒之石”僅通過網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散,而“WannaCry”對感染主機(jī)的文件進(jìn)行難以破解的加密,并勒索比特幣;

c)“永恒之石”并未像“WannaCry”一樣,設(shè)置域名開關(guān)用于控制病毒傳播;

d)“永恒之石”會在被感染的主機(jī)上安裝后門,遠(yuǎn)程攻擊者可利用該后門控制被感染主機(jī);

e)“永恒之石”感染主機(jī)后,會延遲24小時下載攻擊工具,目的在于拖延安全研究人員的響應(yīng)時間。

(二)潛在危害

a)“永恒之石”經(jīng)過預(yù)定義的休眠期(目前為24小時),C&C服務(wù)器才會做出回應(yīng),不易被安全檢測沙盒和安全研究人員發(fā)現(xiàn);

b)攻擊者可以通過C&C服務(wù)器對受此“永恒之石”感染的計算機(jī)設(shè)備發(fā)出指令進(jìn)行控制,并將新的惡意軟件發(fā)送到已被感染的主機(jī)中。

c)與“WannaCry”相比,“永恒之石”雖尚未造成嚴(yán)重的危害,但若攻擊者將“永恒之石”與勒索軟件、木馬等綁定,將可能對存在漏洞的主機(jī)造成嚴(yán)重的威脅。

d)如今尚未出現(xiàn)爆發(fā)大規(guī)模感染的情況,但結(jié)合“WannaCry”對內(nèi)網(wǎng)的破壞情況可知,內(nèi)網(wǎng)蔓延的隱患仍然存在。

三、處置建議

1、個人用戶采取應(yīng)急措施,安裝漏洞修復(fù)補(bǔ)丁。“永恒之石”利用了與“WannaCry”勒索蠕蟲相同的微軟安全漏洞,請個人用戶及時檢查安裝MS17-010修復(fù)補(bǔ)丁,補(bǔ)丁鏈接如下:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

與此同時,及時采取臨時解決方案,一是關(guān)閉計算機(jī)的445端口和135、137、138、139等不必要開放的端口;二是配置主機(jī)級ACL 策略封堵445 端口;三是打開“Windows防火墻”,進(jìn)入“高級設(shè)置”,在入站規(guī)則中禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。

2、網(wǎng)絡(luò)管理員修改網(wǎng)絡(luò)配置,監(jiān)控網(wǎng)絡(luò)接口。建議各網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)防火墻上配置相關(guān)策略,限制外部對445端口的訪問,加強(qiáng)內(nèi)網(wǎng)審計。同時在接入交換機(jī)或核心交換機(jī)抓包,查看是否存在大量掃描內(nèi)網(wǎng)139、135、445端口的網(wǎng)絡(luò)行為,及時定位掃描發(fā)起點,對掃描設(shè)備進(jìn)行病毒查殺,一旦發(fā)現(xiàn)被感染主機(jī),立即斷網(wǎng)防止進(jìn)一步擴(kuò)散。

3、日常使用規(guī)范。在日常計算機(jī)使用過程中,對重要信息數(shù)據(jù)定期及時進(jìn)行備份;瀏覽網(wǎng)頁和使用電子郵件的過程中,切勿隨意點擊可以鏈接地址;及時更新操作系統(tǒng)及相關(guān)軟件版本,實時安裝公開發(fā)布的漏洞修復(fù)補(bǔ)丁。

轉(zhuǎn)載來源:REEBUF

原文地址:http://www.freebuf.com/vuls/135694.html

上一篇
下一篇

聯(lián)系我們:cert@chaosec.com