Wannacry には EternalRocks という恐ろしい後継者がいる

最近発見されたワーム EternalRocks にはキル スイッチがなく、非常に感染力があります。 NSA のリークされたツールを悪用し、ランサムウェア、バンキング型トロイの木馬、または RAT で急速に武器化できます。

過去 10 日間に WannaCry によって世界中で大混乱を引き起こした一連のランサムウェア攻撃の後、セキュリティ研究者の Miroslav Stampar によってマルウェアの新種「EternalRocks」が特定されました。水曜日に感染した Windows 7 ハニーポットのサンプルから彼によって発見されました。

元の名前は「MicroBotMassiveNet」で、Stampar は「DoomsDayWorm」と名付けました。 EternalRocks は、Taskhost プロパティの下に製品名としてリストされています。

EternalRocks は、WannaCry が攻撃で使用する EternalBlue を含む、リークに含まれるすべての SMB エクスプロイトを使用して拡散します。 EternalRocks は EternalBlue だけでなく、EternalChampion、EternalRomance、EternalSynergy、ArchiTouch、SMBTouch、DoublePulsar カーネル エクスプロイトも使用しています。

EternalRocks は自己複製型のマルウェアであり、WannaCry よりもはるかに多くの脅威を含み、凶悪です。複数の SMB (サーバー メッセージ ブロック) の脆弱性を介して拡散し、EtnernalBlue として知られる NSA ツールを使用して、Windows を介してあるコンピューターから次のコンピューターに拡散します。

EternalRocks について知っておくべき重要事項:

1. 現在の形では、「EternalRocks」はファイルをロックしたり破損したりせず、感染したマシンを使用してボットネットを構築することもありません。ただし、感染したコンピューターはリモート コマンドに対して脆弱になり、いつでも感染を「武器化」する可能性があります。
2. 「EternalRocks」は抜け穴やキル スイッチがないため、WannaCry よりも強力です。これらの抜け穴により、WannaCry ランサムウェアは遅くなり、回避されました。
3. 「EternalRocks はコンピュータに感染してから 24 時間は何もしないため、検出が難しくなります。 24 時間の間に 2 段階で拡散します。

ハニーポットとは

ハニーポット 情報システムの不正使用を試みるハッカーを引き付け、検出し、そらすための罠として機能するように設定されたコンピュータ セキュリティ メカニズムです。サイバー攻撃者を意図的に関与させて騙すことにより、インターネット上で実行される悪意のある活動を識別します。

方法 エターナルロックス とは異なります WannaCry?

EternalRocks は同じルートと脆弱性を使用して Windows 対応システムに感染しますが、NSA からリークされた WannaCry と比較して、7 つのハッキング ツールすべてを使用していると考えられるため、はるかに危険であると言われています。

わずか 2 つの NSA ツールを備えた WannaCry マルウェアは、世界中の 150 か国と 240,000 台を超えるマシンに影響を与え、災害を引き起こしました。 EternalRocks が 7 つの NSA ツールを使用しているため、何ができるか想像できます。

「DoomsDayWorm」のユニークな機能は、バックドアを使用してコマンド アンド コントロール サーバーから追加のマルウェアをダウンロードする前に、24 時間黙って待機することです。 WannaCry ランサムウェアとは異なり、セキュリティ ブロガーが発見したキルスイッチにより拡散が停止しました。

第 1 段階で、EternalRocks は TOR を C&C (コマンド アンド コントロール) 通信チャネルとしてインストールします。第 2 段階は、C&C サーバーが shadowbrokers.zip で応答する 24 時間後に開始されます。次に、ファイルを解凍し、インターネットの開いている 445 SMB ポートのランダム スキャンを開始します。

TOR とは

どこにでもある目に見えない目を閉じるソフトウェア

TOR は、ユーザーが匿名で Web を閲覧できるようにするソフトウェアです。 TOR は、ユーザー アクティビティに関する情報を隠すために使用されるオニオン ルーティングと呼ばれる手法を使用するため、当初はオニオン ルーターと呼ばれていました。 TOR は、識別とルーティングを分離することでインターネット アクティビティの追跡をより困難にし、IP アドレスを含むデータを暗号化します。

C&C (コマンド アンド コントロール) 通信チャネルとは?

C&C サーバーまたは C2 とも呼ばれるコマンド アンド コントロール サーバーは、攻撃者がターゲット ネットワーク内の侵害されたシステムとの通信を維持するために使用するコンピューターです。

EternalRocks が使用する ShadowBrokers によってリークされた 7 つの NSA ツール:

EternalBlue — ネットワークに侵入するために使用される SMB1 および SMB2 エクスプロイト

EternalRomance — Windows XP、Server 2003、Vista、Windows 7、Windows 8、Server 2008、および Server 2008 R2 を標的とするリモート SMB1 ネットワーク ファイル サーバーのエクスプロイト

EternalChampion — SMBv2 エクスプロイト ツール

EternalSynergy — SMB3 に対するリモート コード実行エクスプロイトで、オペレーティング システムに対して機能する可能性があります。

上記の 4 つのツールは、脆弱な Windows コンピュータを侵害するように設計されています。

SMBTouch — SMB 偵察ツール

ArchTouch — SMB 偵察ツール

上記の 2 つのツールは、パブリック ネットワークで開いている SMB ポートをスキャンするために使用されます。

DoublePulsar — ランサムウェアのインストールに使用

同じネットワークを介して、あるコンピューターから別のコンピューターにワームを拡散するのに役立ちます。

EternalBlue やバックドア、DoublePulsar エクスプロイトを使用するマルウェアは WannaCry ランサムウェアだけではありません。 A Adylkuzz として知られる暗号通貨マイナーは、感染したマシンで仮想通貨を作成しています。同様の攻撃ベクトルを介して拡散する別のマルウェアは、UIWIX として知られています。

良いところ

EternalRocks が兵器化されたという報告はありません。ランサムウェアのような悪意のあるペイロードは報告されていません。

悪い点

影響 SMB パッチが後で適用されると、EternalRocks ワームに感染したマシンは、DOUBLEPULSAR NSA ツールを介してリモートでアクセスできるようになります。 EternalRocks が残したバックドア型トロイの木馬 DOUBLEPULSAR インストールは、ハッカーに対して常にドアを開けたままにしています。

そのような攻撃から身を守るにはどうすればよいですか?

公共のインターネット上の SMB ポートへの外部アクセスをブロックする

• すべての SMB 脆弱性にパッチを適用
• C&C サーバーへのアクセスをブロックし、Torproject.org へのアクセスをブロックします
• 新しく追加されたスケジュールされたタスクを監視する
• Windows OS を更新する
• アンチウイルスをインストールして更新する
• システム ファイアウォールをインストールまたは有効にして、疑わしいリンクとシステムの間のバリアを維持します
• わかりやすい設定や単純なパスワードは避けるようにしてください。アルファベットと数字の組み合わせを試してみてください。大文字と小文字を組み合わせることも、より安全な方法です。

システムが感染しやすい場合は、海賊版の Windows を使用しないでください。正規版の Windows OS をインストールして使用することをお勧めします。