Der kürzlich entdeckte Wurm EternalRocks verfügt über keinen Kill-Schalter und ist hochinfektiös. Es nutzt die geleakten Tools der NSA aus und kann schnell mit Ransomware, Banking-Trojanern oder RATs bewaffnet werden.
Nach einer Vielzahl von Ransomware-Angriffen, die in den letzten 10 Tagen weltweit Chaos angerichtet haben, durch WannaCry, eine neue Art von Malware „ „EternalRocks“ wurde vom Sicherheitsforscher Miroslav Stampar identifiziert. Es wurde von ihm am Mittwoch anhand einer Probe auf seinem Windows 7-Honeypot entdeckt, als es infiziert wurde.
Der ursprüngliche Name lautet „MicroBotMassiveNet“, und Stampar hat ihm den Namen „DoomsDayWorm“ gegeben. EternalRocks ist als Produktname unter den Taskhost-Eigenschaften aufgeführt.
EternalRocks verbreitet sich unter Verwendung aller SMB-Exploits im Leak, einschließlich EternalBlue, das von WannaCry bei Angriffen verwendet wird. EternalRocks verwendet nicht nur EternalBlue, sondern auch EternalChampion, EternalRomance und EternalSynergy sowie ArchiTouch, SMBTouch und den DoublePulsar-Kernel-Exploit.
EternalRocks ist sich selbst reproduzierende Malware, sie enthält weit mehr Bedrohungen und ist es auch abscheulicher als WannaCry. Es verbreitet sich über mehrere SMB-Schwachstellen (Server Message Block) und nutzt das NSA-Tool EtnernalBlue, um sich über Windows von einem Computer zum nächsten zu verbreiten.
Siehe auch: So schützen Sie sich vor WannaCry und anderen Ransomware-Angriffen
Einige wichtige Dinge, die man über EternalRocks wissen sollte:
Ein Honeypot ist ein Computersicherheitsmechanismus, der als Falle dient, um Hacker anzulocken, zu erkennen und abzuwehren, die versuchen, Informationssysteme unbefugt zu nutzen. Es identifiziert böswillige Aktivitäten, die über das Internet durchgeführt werden, indem es Cyber-Angreifer gezielt angreift und täuscht.
Wie EternalRocks sich von WannaCry?
Obwohl EternalRo cks verwendet den gleichen Weg und die gleiche Schwachstelle, um Windows-Systeme zu infizieren. Es soll jedoch weitaus gefährlicher sein, da es angeblich alle sieben Hacking-Tools verwendet im Vergleich zu WannaCry, die von der NSA durchgesickert sind.
Die WannaCry-Malware verursachte mit nur zwei NSA-Tools eine Katastrophe, indem sie 150 Länder und über 2.40.000 Maschinen auf der ganzen Welt befiel. Wir können uns also vorstellen, was EternalRocks leisten kann, wenn es sieben NSA-Tools verwendet.
Das einzigartige Merkmal von „DoomsDayWorm“ besteht darin, dass es 24 Stunden stillschweigend wartet, bevor es die Hintertür nutzt, um weitere herunterzuladen Malware vom Command-and-Control-Server. Im Gegensatz zur WannaCry-Ransomware, deren Verbreitung aufgrund eines von einem Sicherheitsblogger entdeckten Killswitch gestoppt wurde.
In der ersten Phase installiert EternalRocks TOR als C&C-Kommunikationskanal (Command-and-Control). Die zweite Phase beginnt nach Ablauf von 24 Stunden, wenn der C&C-Server mit „shadowbrokers.zip“ antwortet. Anschließend wird die Datei entpackt und eine zufällige Suche nach offenen 445-SMB-Ports des Internets gestartet.
Was ist TOR?
Software, die unsichtbare Augen verschließt, da sie überall sind
TOR ist eine Software, die es Benutzern ermöglicht, anonym im Internet zu surfen. TOR wurde ursprünglich „The Onion Router“ genannt, da es eine Technik namens „Onion Routing“ verwendet, mit der Informationen über Benutzeraktivitäten verborgen werden. TOR macht es schwieriger, Internetaktivitäten zu verfolgen, indem es Identifizierung und Routing trennt, es verschlüsselt die Daten, einschließlich der IP-Adresse.
Was ist ein C&C-Kommunikationskanal (Command-and-Control)?
Befehls- und Kontrollserver, auch C&C-Server oder C2 genannt, sind Computer, die von Angreifern verwendet werden, um die Kommunikation mit kompromittierten Systemen innerhalb eines Zielnetzwerks aufrechtzuerhalten.
Die sieben NSA-Tools durchgesickert von den von EternalRocks verwendeten ShadowBrokers:
EternalBlue – SMB1- und SMB2-Exploit, der zum Zugriff auf das Netzwerk verwendet wurde
EternalRomance – ein Remote-SMB1-Netzwerkdateiserver-Exploit, der auf Windows XP abzielt , Server 2003, Vista, Windows 7, Windows 8, Server 2008 und Server 2008 R2
EternalChampion – SMBv2-Exploit-Tool
EternalSynergy – ein Exploit zur Remotecodeausführung gegen SMB3, der möglicherweise funktioniert gegen Betriebssysteme.
Die oben genannten 4 Tools sind für die Gefährdung anfälliger Windows-Computer konzipiert.
SMBTouch – SMB-Aufklärungstool
ArchTouch – SMB-Aufklärungstool
Die oben genannten 2 Tools werden zum Scannen verwendet für offene SMB-Ports im öffentlichen Netzwerk.
DoublePulsar – wird zur Installation der Ransomware verwendet
Hilft bei der Verbreitung des Wurms von einem Computer auf einen anderen im selben Netzwerk.
WannaCry-Ransomware ist nicht die einzige Malware, die EternalBlue oder die Hintertür DoublePulsar nutzt. Ein Kryptowährungs-Miner namens Adylkuzz prägt virtuelle Währungen auf infizierten Maschinen. Eine weitere Malware, die sich über einen ähnlichen Angriffsvektor verbreitet, ist als UIWIX bekannt.
Das Gute daran
Es gibt keine Berichte über EternalRocks als Waffe eingesetzt worden sein. Es werden keine bösartigen Payloads wie Ransomware gemeldet.
Der schlechte Teil
Da die Auswirkungen darauf liegen, dass SMB-Patches zu einem späteren Zeitpunkt angewendet werden, werden Maschinen von den EternalRocks infiziert Der Wurm bleibt über das NSA-Tool DOUBLEPULSAR aus der Ferne zugänglich. Die von EternalRocks hinterlassene Backdoor-Trojaner-Installation DOUBLEPULSAR hält Hackern immer Tür und Tor offen.
Was tun, um vor solchen Angriffen sicher zu sein?
Blockieren Sie den externen Zugriff auf öffentliche SMB-Ports Internet
- Alle SMB-Schwachstellen beheben
- Zugriff auf C&C-Server blockieren und Zugriff auf Torproject.org blockieren
- Auf neu hinzugefügte geplante Aufgaben achten
- Aktualisieren Sie Ihr Windows-Betriebssystem
- Installieren und aktualisieren Sie Ihr Antivirenprogramm
- Installieren oder aktivieren Sie die System-Firewall, um eine Barriere zwischen verdächtigen Links und Ihrem System aufrechtzuerhalten
- Vermeiden Sie offensichtliche Einstellungen und einfache Passwörter. Versuchen Sie es mit einer Kombination aus Buchstaben und Zahlen. Eine Kombination aus Groß- und Kleinbuchstaben ist ebenfalls ein sichererer Ansatz.
Verwenden Sie keine Raubkopien von Windows. Wenn Sie eine haben, ist Ihr System anfälliger für Infektionen. Am besten installieren und verwenden Sie eine Originalversion des Windows-Betriebssystems.
Lesen: 0
