최근 발견된 EternalRocks 웜은 킬 스위치가 없으며 전염성이 높습니다. 이는 NSA의 유출된 도구를 악용하며 랜섬웨어, 뱅킹 트로이 목마 또는 RAT를 통해 빠르게 무기화될 수 있습니다.
새로운 악성 코드 변종인 WannaCry가 지난 10일 동안 전 세계를 혼란에 빠뜨린 수많은 랜섬웨어 공격 이후 “ EternalRocks”는 보안 연구원 Miroslav Stampar에 의해 식별되었습니다. 이 바이러스는 수요일에 그의 Windows 7 허니팟 샘플에서 감염되었을 때 발견되었습니다.
원래 이름은 "MicroBotMassiveNet"이고 Stampar에서는 "DoomsDayWorm"이라고 명명했습니다. EternalRocks는 Taskhost 속성 아래에 제품 이름으로 나열되어 있습니다.
EternalRocks는 WannaCry가 공격에 사용하는 EternalBlue를 포함하여 유출된 모든 SMB 익스플로잇을 사용하여 확산됩니다. EternalRocks는 EternalBlue를 사용할 뿐만 아니라 EternalChampion, EternalRomance, EternalSynergy는 물론 ArchiTouch, SMBTouch 및 DoublePulsar 커널 익스플로잇도 사용합니다.
EternalRocks는 자체 복제 악성코드로 훨씬 더 많은 위협을 포함하고 있으며 워너크라이보다 더 끔찍하다. 이는 여러 SMB(서버 메시지 블록) 취약점을 통해 확산되며 EtnernalBlue라고 알려진 NSA 도구를 사용하여 Windows를 통해 한 컴퓨터에서 다음 컴퓨터로 자신을 확산시킵니다.
참조: WannaCry 및 기타 랜섬웨어 공격으로부터 안전을 유지하는 방법
EternalRocks에 대해 알아야 할 몇 가지 중요한 사항:
허니팟은 정보 시스템의 무단 사용을 시도하는 해커를 유인, 감지 및 편향하기 위한 함정 역할을 하도록 설정된 컴퓨터 보안 메커니즘입니다. 의도적으로 사이버 공격자를 참여시키고 속임으로써 인터넷을 통해 수행되는 악의적인 활동을 식별합니다.
EternalRocks의 차이점 >울고 싶어?
EternalRo이지만 cks는 동일한 경로와 약점을 사용하여 Windows 지원 시스템을 감염시키며, NSA에서 유출된 WannaCry에 비해 7가지 해킹 도구를 모두 사용하는 것으로 알려져 훨씬 더 위험하다고 합니다.
단 두 개의 NSA 도구를 사용하는 WannaCry 악성코드는 전 세계 150개 국가와 2,40,000개 이상의 컴퓨터에 영향을 미쳐 재난을 일으켰습니다. 따라서 EternalRocks는 7개의 NSA 도구를 사용하므로 무엇을 할 수 있는지 상상할 수 있습니다.
“DoomsDayWorm”의 독특한 특징은 백도어를 사용하여 추가 다운로드를 하기 전에 24시간 동안 조용히 기다린다는 것입니다. 명령 및 제어 서버의 악성 코드. 보안 블로거가 발견한 킬 스위치로 인해 확산이 중단된 WannaCry 랜섬웨어와는 다릅니다.
첫 번째 단계에서 EternalRocks는 TOR을 C&C(Command-and-Control) 통신 채널로 설치합니다. 두 번째 단계는 24시간이 지난 후 C&C 서버가 Shadowbrokers.zip으로 응답하면 시작됩니다. 그런 다음 파일의 압축을 풀고 인터넷의 열려 있는 445 SMB 포트에 대한 무작위 검색을 시작합니다.
TOR란 무엇인가요?
보이지 않는 눈을 어디에나 있기 때문에 감춰주는 소프트웨어
TOR은 사용자가 익명으로 웹을 탐색할 수 있게 해주는 소프트웨어입니다. TOR는 원래 사용자 활동에 대한 정보를 숨기는 데 사용되는 양파 라우팅이라는 기술을 사용하기 때문에 The Onion Router라고 불렸습니다. TOR는 식별과 라우팅을 분리하여 인터넷 활동 추적을 더욱 어렵게 만들고 IP 주소를 포함한 데이터를 암호화합니다.
C&C(Command-and-Control) 통신 채널이란 무엇인가요?
C&C 서버 또는 C2라고도 하는 명령 및 제어 서버는 공격자가 대상 네트워크 내의 손상된 시스템과 통신을 유지하는 데 사용하는 컴퓨터입니다.
7가지 NSA 도구 EternalRocks가 사용하는 ShadowBroker에 의해 유출됨:
EternalBlue — 네트워크에 접속하는 데 사용되는 SMB1 및 SMB2 익스플로잇
EternalRomance — Windows XP를 대상으로 하는 원격 SMB1 네트워크 파일 서버 익스플로잇 , Server 2003, Vista, Windows 7, Windows 8, Server 2008 및 Server 2008 R2
EternalChampion — SMBv2 공격 도구
EternalSynergy — 잠재적으로 작동하는 SMB3에 대한 원격 코드 실행 공격 운영 체제에 대해.
위의 4개 도구는 취약한 Windows 컴퓨터를 손상시키도록 설계되었습니다.
SMBTouch — SMB 정찰 도구
ArchTouch — SMB 정찰 도구
위의 2가지 도구를 사용하여 스캔합니다. 공용 네트워크의 개방형 SMB 포트용.
DoublePulsar — 랜섬웨어 설치에 사용됨
동일한 네트워크를 통해 한 컴퓨터에서 다른 컴퓨터로 웜을 확산시키는 데 도움이 됩니다.
WannaCry 랜섬웨어는 EternalBlue 또는 백도어인 DoublePulsar 익스플로잇을 사용하는 유일한 악성코드가 아닙니다. Adylkuzz로 알려진 암호화폐 채굴자는 감염된 시스템에서 가상 화폐를 채굴하고 있습니다. 유사한 공격 벡터를 통해 확산되는 또 다른 악성코드는 UIWIX로 알려져 있습니다.
좋은 점
EternalRocks에 대한 보고는 없습니다. 무기화됐다고. 랜섬웨어와 같은 악성 페이로드는 보고되지 않습니다.
나쁜 부분
효과 SMB 패치는 나중에 적용되므로 시스템이 EternalRocks에 감염됩니다. 웜은 DOUBLEPULSAR NSA 도구를 통해 원격으로 액세스할 수 있습니다. EternalRocks가 남긴 백도어 트로이목마 DOUBLEPULSAR 설치는 항상 해커들에게 문을 열어줍니다.
이러한 공격으로부터 안전하려면 어떻게 해야 합니까?
공개 SMB 포트에 대한 외부 접근을 차단합니다. 인터넷
- 모든 SMB 취약점 패치
- C&C 서버에 대한 액세스 차단 및 Torproject.org에 대한 액세스 차단
- 새로 추가된 예약 작업 모니터링
- Windows OS 업데이트
- 바이러스 백신 설치 및 업데이트
- 의심스러운 링크와 시스템 사이의 장벽을 유지하기 위해 시스템 방화벽을 설치 또는 활성화
- 명확한 설정과 단순한 비밀번호는 피하세요. 알파벳과 숫자를 조합하여 사용해 보세요. 대문자와 소문자를 조합하는 것도 더 안전한 접근 방식입니다.
해적판 Windows 버전을 사용하지 마십시오. 사용 중인 경우 시스템이 감염되기 쉽습니다. Windows OS 정품을 설치하여 사용하시는 것이 가장 좋습니다.
읽기: 0
