EternalRocks: a WannaCry-nál is veszélyesebb zsarolóvírus a láthatáron

forrás: Prím Online, 2017. május 29. 15:12

Az elmúlt hetekben óriási pusztítást végző WannaCry zsarolóvírus két olyan sebezhetőséget használt ki, amely az amerikai NSA-től szivárgott ki. A napokban egy újabb kártevőt fedeztek fel, amely ugyanezt a két biztonsági rést és további öt másikat céloz meg, amelyekről szintén a Shadow Brokers hackercsoport szivárogtatta ki az információkat az NSA-től. Az EternalRocks névre keresztelt malware egyelőre nem okozott jelentős károkat, viszont agresszíven terjed, és ha „felfegyverzik”, a WannaCry-nál is komolyabb következményekkel járhat.

 

Hét biztonsági résre utazik

Az EternalRocks nemcsak a korábban a Shadow Brokers hackercsoport által kiszivárogtatott és a WannaCry zsaroló program által használt EternalBlue és a DoublePulsar exploit-okat, hanem öt további hasonló eszközt alkalmaz: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch és SMBTouch. Ezek többsége a Microsoft Server Message Block (SMB) protokollt célozza, amely a hálózati csomópontok közötti hozzáférés-megosztásért felelős.

 

A kártevő kétlépcsős telepítési eljárást hajt végre, miután megfertőzte a célrendszert. Az első lépésben letölti a TOR-klienst, amelyet kommunikációs csatornaként használva kapcsolatba lép a Command & Control (C&C) parancsvezérlő szerverével. A C&C kiszolgáló a megszokottól eltérően nem azonnal, hanem csak 24 óra elteltével küld választ. Ez a késleltetett visszajelzés feltehetőleg azt a célt szolgálja, hogy ezáltal megkerülhető legyen a sandbox tesztelés és a biztonsági elemzés. Amikor a C&C kiszolgáló válaszol, elküldi a taskhost.exe nevű fő összetevőt, ez letölti a shadowbrokers.zip nevű tömörített fájlt, amely a biztonsági réseket kiaknázó exploitokat tartalmazza. A kitömörítés után az EternalRocks figyelni kezdi az internetet, és olyan rendszereket keres, amelyeken meg van nyitva a 445-ös port, mivel ez szolgál átjáróként a féreg fertőzéséhez. Az EternalRocks által kiaknázott biztonsági rések egy részét a Microsoft már javította a márciusban kiadott MS17-010 frissítéssel.

 

Veszélyesebb, mint a WannaCry

Az egyik lényeges különbség a WannaCry és az EternalRocks között, hogy az utóbbi nem tartalmaz rosszindulatú elemet, legalábbis az eddigi megfigyelések szerint. Mivel azonban gyorsan képes terjedni, az EternalRocks-fertőzött rendszerek nemkívánatos következményeket szenvedhetnek el, ha a kártevőt valaki felfegyverzi.

 

A WannaCry ezenfelül tartalmaz egy vészleállító kapcsolót, amely azonnal aktiválódik, ha észleli, hogy egy adott tartomány „élő”. Az EternalRocksban nincs ilyen vészleállító kapcsoló, így a valós támadások sokkal nehezebben lassíthatók.

 

Frissítés és többrétegű védelem

A WannaCry-botrány óta a legtöbb helyen már frissítették a rendszereket. Akik még nem tették meg, azok számára a potenciálisan még veszedelmesebb kártevő megjelenése sürgetőleg hat. Mivel az EternalRocks szintén a WannaCry által alkalmazott eszközöket alkalmazza, a felhasználóknak és rendszergazdáknak egyaránt érdemes mielőbb frissíteniük a rendszereiket, még mielőtt az EternalRocksot valaki kártékony tulajdonságokkal vértezi fel. 

 

„Sok vállalatnál nehézséget okoz a rendszerek azonnali frissítése, ezért célszerű igénybe venni a Trend Micro termékekben elérhető virtuális javítást, amely képes védelmet nyújtani a végpontok számára a nem kezelt réseket kihasználó fenyegetések ellen is. Továbbá célszerű többrétegű védelmi rendszereket bevezetni, amelyek újgenerációs megoldásokat alkalmazva hatékonyan veszik fel a harcot a hasonló kártevők ellen. Ilyen technológiák például a gépi tanulás, viselkedés alapú analízis vagy éppen a sandbox környezetben történő elemzés. Az említett sebezhetőségeket kihasználó kártevők jelenléte arra is rávilágított, hogy a belső hálózati forgalom védelme nem kap elég figyelmet. A vállatok és szervezetek többsége hálózati védelmen sajnos elsősorban a határvédelmet érti, és a belső mozgásokat nem képes hatékonyan észlelni és megállítani” – foglalta össze Gömbös Attila, a Trend Micro rendszermérnöke.