继“永恒之蓝”勒索病毒后,近日,安全技术公司亚信安全再次截获最新病毒“永恒之石”。该病毒属于网络蠕虫,具有自我复制的功能,并利用MS17-010漏洞进行传播。与WannaCry不同,“永恒之石”利用更多近期泄露的NSA黑客工具,其中包括多种漏洞攻击工具。亚信安全已将其命名为TROJ_ETEROCK.A和TROJ_EQUATED.G。
一、亚信安全中国病毒响应中心详解“永恒之石”攻击流程如下:
第一阶段
恶意程序UpdateInstaller.exe(在第二阶段使用的远程攻击恶意程序)下载必须的.NET组件(提供给之后的阶段使用)TaskScheduler和SharpZlib,下载的同时会释放svchost.exe(被检测为TROJ_ETEROCK.A)和taskhost.exe(被检测为TROJ_ETEROCK.A)。svchost.exe会从archive.torproject.org下载Tor浏览器压缩包,解压缩后运行Tor程序,与C&C服务器 ubgdgno5eswkhmpy.onion进行通信。
第二阶段
系统感染24小时后,病毒会做如下操作:
1. 其会在http://ubgdgno5eswkhmpy.onion/updates/download?id=PC站点下载恶意程序taskhost.exe(与第一阶段的病毒文件不同,但该恶意程序也被检测为TROJ_ETEROCK.A)。
2. 运行下载的恶意程序并释放一个漏洞攻击包shadowbrokers.zip(其中的恶意组件可被检测为TROJ_EQUATED.G),并将漏洞攻击包解压到payloads/、config/和bin/目录下,运行bin/目录中的攻击程序。
3. 这些攻击程序会随机扫描445端口,如果检测到SMB漏洞,会将第一阶段下载的恶意程序发送到远程主机上。
4. 同时该病毒会从第一阶段的C&C服务器接收其他指令。
二、“永恒之石”涉及病毒程序简介
TROJ_ETEROCK.A木马程序简介:
1. 该木马程序由其它恶意程序生成或者用户访问恶意网址不经意下载感染本机。
2. 该木马程序在%ProgramFiles%\Microsoft Updates目录中生成文件夹及多个文件。
3. 该木马程序链接如下地址下载组件:
http://apps.{BLOCKED}trust.com/roots/dstrootcax3.p7c
http://api.{BLOCKED}et.org/packages/taskscheduler.2.5.23.nupkg.
4. 该木马程序通过Tor网络与如下C&C服务器进行通信:
http://ubgdgno5eswkhmpy.onion.
5. 该木马添加防火墙规则,将病毒攻击组件、Tor组件、端口加入白名单。
TROJ_EQUATED.G木马程序简介:
感染方式:
1. 该病毒与其他恶意程序捆绑或作为恶意程序组件感染本机;
2. 该病毒由其它恶意程序生成或用户访问恶意网址不经意下载感染本机;
3. 用户不经意点击运行该病毒。
其他细节:
(一)该病毒会使用含有以下功能的插件:
1. 检测当前的用户权限并且试图提权
2. 检测目标机器的IIS服务器是否存在漏洞
3. 检测目标机器是否运行RPC
4. 检测目标机器的安全连接状态
5. 任意代码执行
6. 传送exp
7. 向目标机器释放程序或者执行程序
8. 开启/关闭NTML协议安全开关
9. 从文件中注入payload
10.将代码注入远程进程
11.检索目标机器的IIS版本
12.检索目标机的WorldClient版本
13.测试插件通信
14.升级或者卸载组件
15.使用错误的密码hash验证用户
(二)该恶意病毒会利用以下漏洞:
CVE-2008-4250 - Vulnerability in Server ServiceCould Allow Remote Code Execution (958644)
CVE-2010-2729 - Vulnerability in Print SpoolerService Could Allow Remote Code Execution (2347290)
CVE-2014-6324 - Vulnerability in Kerberos CouldAllow Elevation of Privilege (3011780)
CVE-2017-0143 - Windows SMB Remote CodeExecution Vulnerability
CVE-2017-0144 - Windows SMB Remote CodeExecution Vulnerability
CVE-2017-0145 - Windows SMB Remote CodeExecution Vulnerability
CVE-2017-0146 - Windows SMB Remote CodeExecution Vulnerability
CVE-2017-0147 - Windows SMB InformationDisclosure Vulnerability
CVE-2017-0148- Windows SMB Remote Code Execution Vulnerability
三、防护措施
(1)利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)。
(2)打开系统自动更新,并检测更新进行安装。该病毒涉及漏洞及安装地址如下:
MicrosoftSecurity Bulletin MS08-067:
https://technet.microsoft.com/en-us/library/security/ms08-067.aspx
MicrosoftSecurity Bulletin MS10-061:
https://technet.microsoft.com/en-us/library/security/ms10-061.aspx
MicrosoftSecurity Bulletin MS14-068:
https://technet.microsoft.com/en-us/library/security/ms14-068.aspx
MicrosoftSecurity Bulletin MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx