EternalRocks: a WannaCry-nál is veszélyesebb zsarolóvírus a láthatáron

forrás: Prím Online, 2017. május 29. 15:12

Az elmúlt hetekben óriási pusztítást végző WannaCry zsarolóvírus két olyan sebezhetőséget használt ki, amely az amerikai NSA-től szivárgott ki. A napokban egy újabb kártevőt fedeztek fel, amely ugyanezt a két biztonsági rést és további öt másikat céloz meg, amelyekről szintén a Shadow Brokers hackercsoport szivárogtatta ki az információkat az NSA-től. Az EternalRocks névre keresztelt malware egyelőre nem okozott jelentős károkat, viszont agresszíven terjed, és ha „felfegyverzik”, a WannaCry-nál is komolyabb következményekkel járhat.

 

Hét biztonsági résre utazik

Az EternalRocks nemcsak a korábban a Shadow Brokers hackercsoport által kiszivárogtatott és a WannaCry zsaroló program által használt EternalBlue és a DoublePulsar exploit-okat, hanem öt további hasonló eszközt alkalmaz: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch és SMBTouch. Ezek többsége a Microsoft Server Message Block (SMB) protokollt célozza, amely a hálózati csomópontok közötti hozzáférés-megosztásért felelős.

 

A kártevő kétlépcsős telepítési eljárást hajt végre, miután megfertőzte a célrendszert. Az első lépésben letölti a TOR-klienst, amelyet kommunikációs csatornaként használva kapcsolatba lép a Command & Control (C&C) parancsvezérlő szerverével. A C&C kiszolgáló a megszokottól eltérően nem azonnal, hanem csak 24 óra elteltével küld választ. Ez a késleltetett visszajelzés feltehetőleg azt a célt szolgálja, hogy ezáltal megkerülhető legyen a sandbox tesztelés és a biztonsági elemzés. Amikor a C&C kiszolgáló válaszol, elküldi a taskhost.exe nevű fő összetevőt, ez letölti a shadowbrokers.zip nevű tömörített fájlt, amely a biztonsági réseket kiaknázó exploitokat tartalmazza. A kitömörítés után az EternalRocks figyelni kezdi az internetet, és olyan rendszereket keres, amelyeken meg van nyitva a 445-ös port, mivel ez szolgál átjáróként a féreg fertőzéséhez. Az EternalRocks által kiaknázott biztonsági rések egy részét a Microsoft már javította a márciusban kiadott MS17-010 frissítéssel.

 

Veszélyesebb, mint a WannaCry

Az egyik lényeges különbség a WannaCry és az EternalRocks között, hogy az utóbbi nem tartalmaz rosszindulatú elemet, legalábbis az eddigi megfigyelések szerint. Mivel azonban gyorsan képes terjedni, az EternalRocks-fertőzött rendszerek nemkívánatos következményeket szenvedhetnek el, ha a kártevőt valaki felfegyverzi.

 

A WannaCry ezenfelül tartalmaz egy vészleállító kapcsolót, amely azonnal aktiválódik, ha észleli, hogy egy adott tartomány „élő”. Az EternalRocksban nincs ilyen vészleállító kapcsoló, így a valós támadások sokkal nehezebben lassíthatók.

 

Frissítés és többrétegű védelem

A WannaCry-botrány óta a legtöbb helyen már frissítették a rendszereket. Akik még nem tették meg, azok számára a potenciálisan még veszedelmesebb kártevő megjelenése sürgetőleg hat. Mivel az EternalRocks szintén a WannaCry által alkalmazott eszközöket alkalmazza, a felhasználóknak és rendszergazdáknak egyaránt érdemes mielőbb frissíteniük a rendszereiket, még mielőtt az EternalRocksot valaki kártékony tulajdonságokkal vértezi fel. 

 

„Sok vállalatnál nehézséget okoz a rendszerek azonnali frissítése, ezért célszerű igénybe venni a Trend Micro termékekben elérhető virtuális javítást, amely képes védelmet nyújtani a végpontok számára a nem kezelt réseket kihasználó fenyegetések ellen is. Továbbá célszerű többrétegű védelmi rendszereket bevezetni, amelyek újgenerációs megoldásokat alkalmazva hatékonyan veszik fel a harcot a hasonló kártevők ellen. Ilyen technológiák például a gépi tanulás, viselkedés alapú analízis vagy éppen a sandbox környezetben történő elemzés. Az említett sebezhetőségeket kihasználó kártevők jelenléte arra is rávilágított, hogy a belső hálózati forgalom védelme nem kap elég figyelmet. A vállatok és szervezetek többsége hálózati védelmen sajnos elsősorban a határvédelmet érti, és a belső mozgásokat nem képes hatékonyan észlelni és megállítani” – foglalta össze Gömbös Attila, a Trend Micro rendszermérnöke.

Biztonság ROVAT TOVÁBBI HÍREI

Adatvédelem az online oktatási időszakban

A Nemzetközi Gyermekmentő Szolgálat, mint a Safer Internet Program (SIP) hazai konzorciumvezetője fontosnak tartja a gyerekek online biztonságát, így a koronavírus okozta megváltozott körülmények miatt otthoni oktatásban részt vevő gyerekek online biztonságát. Éppen ezért a gyermekek vonatkozásában a korábban sokszor emlegetett adatvédelem kérdése újra terítékre kerül, sőt mi több, a távoktatás miatt a gyermekekre vonatkozó adatvédelem még fontosabb, mint korábban. 

2020. április 4. 09:31

A HP egyedülálló innovációkkal emeli új szintre a kiberbiztonságot

A HP bemutatja továbbfejlesztett biztonsági megoldásait, amelyek teljeskörű védelmet nyújtanak a vállalkozások és távoli munkát végzők számára. A vállalat legújabb termékei közé tartozik a HP Pro Security Edition, a HP Proactive Security és a HP Sure Click Enterprise. A HP a járvány miatt otthonról dolgozó munkavállalók adatainak védelmére ingyenesen elérhetővé teszi a Sure Click Pro védelmi szolgáltatást. 

2020. április 3. 11:19

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Több millióan kaphatnak ingyenes online védelmet áprilistól

2020. március 31. 12:57

Hogyan legyenek a gyerekek és a tanárok biztonságban a digitális oktatás ideje alatt is?

2020. március 25. 10:43

Hasznos tippek, hogy előnyünkre fordítsuk a bezártságot!

2020. március 24. 16:55

Koronavírusos átverést azonosított az ESET

2020. március 18. 09:11
online sportfogadás