info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

ٍEternalRocks خطرناک‌تر از WannaCry

خلاصه: پس از سر و صدای باج‌افزار WannaCry حساسیت کارشناسان و کاربران به ابزار‌های نفوذ و هک فاش شده توسط گروه هکری دلالان سایه افزایش زیادی داشته است. همینطور بدافزار‌هایی که از این ابزار‌ها استفاده می‌کنند زیر ذره‌بین قرارگرفته‌اند. در جدیدترین یافته‌ها، یک کرم اینترنتی با نام EternalRocks برای نفوذ از ۷ ابزار فاش شده NSA استفاده می‌کند. جالب است بدانید WannaCry تنها از دو ابزار برای نفوذ استفاده می‌کند.

یک محقق امنیتی پرده از یک بدافزار جدید برداشت که با استفاده از سرویس اشتراک فایل ویندوز به نام SMB استفاده می‌کند. این بدافزار که EternalRocks نام دارد همانند باج‌افزار WannaCry از ابزار‌های فاش شده توسط گوه هکری دلالان سایه استفاده می‌نماید ولی بر خلاف WannaCry که از دو ابزار فاش شده استفاده می‌نمود از هفت ابزار برای نفوذ و تکثیر استفاده می‌کند.

در گزارش قبلی در مورد گروه‌هایی غیر از باج‌افزار WannaCry هشدار دادیم که از ابزار‌های فاش شده توسط دلالان سایه استفاده می‌کنند؛ اما آن‌ها نیز همانند WannaCry تنها از دو ابزار EternalBlue و DoulePalsar برای نفوذ و تکثیر استفاده می‌کنند.

اما اکنون یک کرم شبکه با نام EternalRocks توسط یک محقق امنیتی کشف شده که از همه بدافزار‌هایی که تاکنون از ابزار‌های فاش شده توسط دلالان سایه استفاده می‌کنند خطرناک‌تر است.

این بدافزار برای این منظور طراحی شده که پنهانی سیستم را آلوده کرده و روی سیستم پنهان بماند و بتواند از سیستم قربانی در راستای منافع خود بهره ببرد.

ابزار‌هایفاش شده توسط گروه دلالان سایه که در این بدافزار استفاده شده است در زیر لیست شده است:

  1. EternalBlue: ابزار اکسپلویت SMB‌ نسخه یک
  2. EternalRomance: ابزار اکسپلویت SMB‌ نسخه یک
  3. EternalChampion: ابزار اکسپلویت SMB‌ نسخه دو
  4. EternalSynergy: ابزار اکسپلویت SMB‌ نسخه سه
  5. SMBTouch: ابزار شناسایی SMB
  6. ArchTouch: ابزار شناسایی SMB
  7. DoublePalsar: تروجان درب پشتی

ابزار‌های SMBTouch و ArchTouch برای جستجوی پورت‌های آسیب‌پذیر باز SMB روی اینترنت مورد استفاده قرار می‌گیرند. ابزار‌های EternalBlue، EternalRomance، EternalChampion و EternalSynergy برای تسخیر کامپیوتر‌های آسیب‌پذیر استفاده شده و ابزار DoublePalsar برای تکثیر کرم روی ماشین‌های آلوده دیگر در یک شبکه محلی مورد استفاده قرار می‌گیرد.

این کرم اینترنتی برای اینکه خود را از دید محققان امنیتی مخفی نگاه دارد خود را شبیه باج‌افزار WannaCry نشان می‌دهد ولی بر خلاف آن به جای ایجاد یک باج‌افزار ایجاد یک کنترل غیرمجاز روی سیستم قربانی می‌کند.

بدافزار  EternalRocks زمانی که به یک سیستم نفوذ می‌کند در گام اول مرورگر Tor را دنلود کرده تا با استفاده از آن به صورت ناشناس با سرور کنترل و فرمان ارتباط برقرار کند. گام دوم با ۲۴ ساعت تاخیر انجام می‌شود! این تاخیر به منظور پنهان ماندن از نظر تکنیک‌های جعبه شنی است. پس از ۲۴ ساعت بدافزار EternalRocks به سرور کنترل و فرمان پاسخ می‌دهد و سپس اقدام به آلوده کردن سیستم و تکثیر بدافزار می‌کند.

با توجه به اینکه تازه اولین سری از ابزار‌های به سرقت رفته از NSA توسط گروه دلالان سایه فاش شده و موج‌های بعدی احتمالا با بدفزار‌های قوی‌تری در راه خواهد بود باید همواره نگران مسائل امنیتی بود و همواره نکات امنیتی را رعایت کنند. مهم‌ترین نکته به روز نگه داشتن برنامه‌ها و سیستم‌عامل‌ها است. همچنین استفاده از سیستم‌ها و برنامه‌های امنیتی مناسب و داشتن پشتیبانی امنیتی مناسب برای شرکت‌ها و سازمان‌ها امری ضروری است. 

تحت نظارت وف ایرانی