EternalRocks بدافزاری است که از هفت ابزار نفوذ متعلق به آژانس امنیت ملی آمریکا استفاده میکند.
محققان دریافتند
بدافزاری که از هفت ابزار متعلق به NSA بهره میگیرد
وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات , 4 خرداد 1396 ساعت 9:17
EternalRocks بدافزاری است که از هفت ابزار نفوذ متعلق به آژانس امنیت ملی آمریکا استفاده میکند.
EternalRocks بدافزاری است که از هفت ابزار نفوذ متعلق به آژانس امنیت ملی آمریکا استفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شاید کاربران در فضای مجازی تصور کنند اتفاقی بدتر از باجافزار واناکرای در این حوزه نمیتواند رخ دهد، ولی باید بگوییم این تصور اشتباه است. محققان بهتازگی یک کرم را شناسایی کردهاند که با بهرهبرداری از آسیبپذیری SMB ویندوز منتشر شده و از هفت ابزار نفوذ متعلق به آژانس امنیتی آمریکا استفادهمیکند. این در حالی است که باجافزار واناکرای تنها از دو ابزار استفاده میکند.
محققان توانستند با بررسی یک سیستم دارای آسیبپذیری SMB بود این کرم را شناسایی و کشف کنند. این کرم، EternalRocks نام دارد و از ۶ ابزار نفوذ مربوط به آسیبپذیری SMB برای آلوده کردن دستگاه قربانی استفاده میکند. این ۶ ابزار عبارتاند از:
• EternalBlue
• EternalChampion
• EternalRomance
• EternalSynergy
• SMBTouch
• ArchiTouch
از ۲ ابزار دیگر نیز برای بازسازی عملیات SMB استفاده شدهاست. این بدافزار همچنین از ابزار معروف DoublePulsar که متعلق به آژانس امنیت ملی آمریکاست برای توزیع آلودگی در سطح شبکه استفادهمیکند.
اگر بخواهیم مقایسهای بین این کرم جدید و واناکرای انجام دهیم، شاهد هستیم که باجافزار با استفاده از دو ابزار EternalBlue و DoublePulsar توانسته است نزدیک به ۳۰۰ هزار دستگاه را آلوده کند. محققان امنیتی در مقایسه این دو بدافزار اعلام کردند EternalRocks خطرات کمتری دارد، چرا که در حال حاضر هیچ محتوای مخربی را بر روی سامانههای قربانیان توزیع نمیکند. با اینحال پیچیدگیهای کرم جدید دست کمی از باجافزار گریه ندارد.
این بدافزار زمانیکه کرم سامانه قربانی را آلوده کرد، یک فرآیند نصب دو مرحلهای را آغاز میکند که مرحله دوم با کمی تأخیر شروع میشود. در مرحله اول، کرم EternalRocks یک کارخواه Tor را بارگیری کرده و یک بیکُن به سمت کارگزار دستور و کنترل خود که در وبِ تاریک قرار دارد، ارسال میکند. پس از گذشت ۲۴ ساعت، کارگزار دستور و کنترل پاسخی ارسال میکند. این تأخیر ۲۴ ساعته در ارسال پاسخ برای دور زدن روشهای تشخیص بدافزار مورد استفاده قرار گرفته است.
نکته دیگر که یکی از وجه تمایزهای این کرم با واناکرای است، نداشتن سوییچ مرگ است. بهعبارت دیگر در کد این بدافزار، تابعی برای متوقف کردن آن در مواقع اضطراری وجود ندارد. در مرحلهی دوم، کرم مورد نظر، یک سری مؤلفههای بدافزاری در قالب یک پرونده آرشیوی با نام shadowbrokers.zip را بارگیری میکند. بدافزار یک پویش بر روی آدرسهای IP تصادفی را انجام داده و سعی میکند به این آدرسهای تصادفی متصل شود.
درحال حاضر کرم EternalRocks خیلی خطرناک نیست، ولی در آینده میتواند به مؤلفههای بدافزاری دیگری مانند باجافزار و تروجان مجهز شده و به یک تهدید بزرگ تبدیل شود. درحالحاضر یکی از بهترین توصیهها برای جلوگیری از آلودگی به کرم EternalRocks این است که از نسل جدید دیوارههای آتش استفاده کرده و ارتباطات مربوط به شبکه Tor را مسدود کنید.
کد مطلب: 12707