محققان اخیرا Worm جدیدی را شناسایی نمودهاند که از طریق SMB در حال گسترش می باشد با این تفاوت که این نوع جدید در مقایسه با Ransomware یا باجافزار WannaCry (که در خبرهای قبلی سایت به آن پرداخته شد) به جای دو ابزار از هفت ابزار NSA استفاده میکند.
این Worm زمانی آشکار شد که توانست SMB Honeypot متعلق به Miroslav Stampar (عضو Croatian Government CERT و سازندهی ابزار شناسایی و Exploit آسیبپذیریهای SQL Injection با نام Sqlmap) را آلوده نماید.
بهرهبرداری باج افزار جدیدِ EternalRocks از هفت ابزار NSA
این Worm که از سوی Stampar و بر اساس ویژگیهای اجرایی یافتشده در یک نمونه، EternalRock نامیده شده میتواند با استفاده از شش ابزار NSA که مبتنی بر SMB بوده یک کامپیوتر را از طریق پورتهای SMB متصل به اینترنت آلوده نماید. ETERNALBLUE ،ETERNALCHAMPION ،ETERNALROMANCE و ETERNALSYNERGY به عنوان Exploitهای SMB بوده و برای تهدید کامپیوترهای آسیبپذیر مورد استفاده قرارمیگیرند؛ لازم به ذکر است که SMBTOUCH و ARCHITOUCH نیز دو ابزار NSA دیگر محسوب میشوند که در عملیات شناسایی SMB کاربرد دارند. این Worm پس از کسب پایگاه اولیه برای خود، از یک ابزار NSA دیگر با نام DOUBLEPULSAR برای نفوذ به سایر سیستمهای آسیبپذیر استفاده میکند.
در باجافزار WannaCry که بیش از 240.000 قربانی گرفت نیز از SMB Worm برای آلودهکردن کامپیوترها و گرفتن قربانیهای جدید استفاده شده بود و این در حالیست که WannaCry برخلاف EternalRock تنها از ETERNALBLUE و DOUBLEPULSAR (برای انتشار در سیستمهای جدید) استفاده کرده بود.
EternalRocks با پیچیدگی بیشتر و خطرات کمتر
EternalRocks به عنوان یک Worm در مقایسه با WannaCry بسیار کم خطرتر محسوب میشود چراکه تا کنون هیچ محتوای مخربی را ارائه نکرده است. با این حال به عقیدهی Stampar این موضوع نه تنها به معنای پیچیدگی کمتر EternalRock نیست، بلکه از پیچیدگی بالاتری نیز برخوردار است.
EternalRocks بسیار پیچیدهتر از WannaCry به حساب میآید؛ به این صورت که این Worm پس از آلودهکردن قربانی، از یک فرآیند نصب دومرحلهای استفاده میکند که مرحلهی دوم آن با تاخیر اجرا میگردد.
در مرحلهی اول، EternalRocks اقدام به کسب یک پایگاه در Host آلوده مینماید و Tor Client را دانلود میکند؛ سپس سرور C&C خود را که برروی یک دامین .Onion موسوم به Dark Web قرار دارد به سمت Host هدایت میکند.
پاسخگویی سرور C&C تنها پس از یک دورهی زمانی از پیش تعریفشده (درحالحاضر 24 ساعت) روی میدهد. به احتمال زیاد نقشی که این تاخیر طولانی ایفا میکند آن است که امکان عبور از محیطهای آزمایشی Sandbox که به ارزیابی وضعیت امنیت میپردازند و همچنین امکان گریز از آنالیز Worm توسط محققان امنیتی را فراهم میکند؛ دلیل این تاخیر نیز آن است که تنها تعداد بسیار اندکی از آنها جهت دریافت پاسخ از سمت سرور C&C، یک روز کامل را انتظار میکشند.
درحالحاضر چندین محقق با اجرای نسخههای قدیمی و Patchنشدهی سرویسهای SMB، به Scan کامپیوترها میپردازند. مدیران شبکهها درحالحاضر اهمیت شرایط را دریافته و برای Patch نمودن PCهای آسیبپذیر یا غیرفعال کردن پروتکل قدیمی SMBv1 فعالیت میکنند و به این ترتیب به مرور از تعداد سیستمهای آسیبپذیر و در معرض آلودگی EternalRocks میکاهند.
علاوه بر این موارد برخی بدافزارها همچون Adylkuzz با بستن پورتهای SMB مانع از انجام Exploitهای بیشتر از سوی سایر تهدیدات میگردند. در نتیجه EternalRocks و سایر بدافزارهایی که برای مقاصد خود از SMB استفاده میکنند، سیستمهای کمتری را هدف قرار میدهند. Forcepoint ،Cyphort و Secdo به تفصیل گزارشهایی از سایر تهدیدات حالحاضر که با بهرهگیری از پورتهای SMB کامپیوترها را مورد هدف قرار میدهند، ارائه کردهاند.
Stampar در پایان صحبتهای خود به مدیران شبکهها هشدار داده است که هرچه سریعتر اقدام به Patch نمودن سیستمهای خود نمایند، چراکه Womها تلاش میکنند تا پیش از اجرای Patchهای امنیتی از سوی مدیران، سیستمها را آلوده نمایند. هرچند که پس از وقوع آلودگی نیز همچنان راههایی برای مقابله با آن وجود دارد.
