一波未平一波又起,最近一直處於動蕩之中的網絡安全行業再次繃緊神經,勒索病毒WannaCry余波還未消散,一款名為EternalRocks(永恆之石)的新病毒再度來襲,據了解該病毒同時使用了7個來自NSA的漏洞。據金山安全大數據中心監測數據顯示:截止5月25日11時,中國已有6省市存在與“永恆之石”蠕虫病毒相關的惡意軟件及其變種。
發出27個惡意軟件搜捕令
目前已經發現並公開的共有27個惡意軟件及其變種,具有使用或疑似使用上述7個漏洞工具、掃描工具及后門工具展開攻擊的可能性。金山安全借助安全大數據分析能力和廣泛的客戶端安裝數量,在全球安全廠商中首次向使用或疑似使用相關漏洞的27個惡意軟件發出了全網搜捕。
經金山安全大數據中心專家對相關樣本是否在中國有分布、分布在哪些區域進行了嚴密的大數據分析與判定。截止5月25日11時,中國已有江蘇、浙江、廣東、廣西、陝西、台灣等六省市存在與“永恆之石”蠕虫病毒相關的惡意軟件及其變種,其中MD5值分別為198f27f5ab972bfd99e89802e40d6ba7、3771b97552810a0ed107730b718f6fe1、5f714b563aafef8574f6825ad9b5a0bf、994bd0b23cce98b86e58218b9032ffab的四種惡意軟件,在中國區域的終端上有批量或個別的存在與潛伏。
據金山安全的專家分析,“永恆之石”攻擊過程分為兩個階段,第一階段是潛伏期(目前潛伏時間為24小時),主要工作是准備運行環境和與暗網中的C&C服務器通信,接收下一步指令,接收到服務端的回應之后進入第二階段。第二階段主要是下載NSA泄露的工具,接著利用這些工具進行滲透攻擊,感染其它主機。
受EternalRocks蠕虫病毒侵害后的主機會加入到僵尸網絡中,接收來自位於暗網中的C&C服務器的指令,由於感染后的機器還會安裝NSA武器庫中的DoublePulsar后門,所以其它攻擊者也可以利用這個后門安裝其它惡意軟件。
EternalRocks主要通過已公開的4個SMB漏洞利用工具(ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE和ETERNALSYNERGY)、1個后門工具(DOUBLEPULSAR)和2個漏洞掃描工具(ARCHITOUCH和SMBTOUCH)來實現一系列滲透攻擊。
完全不必緊張但也不能心存僥幸
金山安全專家早已針對Windows SMB文件共享協議中的漏洞防御形成了安全解決方案。並對未知的惡意軟件也形成了有效的防御方案。金山安全的網絡安全事業部副總經理李元說:“兵來將擋,水來土掩。使用金山安全產品的用戶完全可以不用緊張。”
這次的“永恆之藍”和“永恆之石”會使網絡病毒安全防范進入一個新常態,“網關防護+高危漏洞識別+終端安全防護”將成為主要防御手段。金山安全已基本收集到全部相關樣本並第一時間加入到了雲庫,安裝VGM防毒牆或V8+的用戶隻需及時更新就可有效防范和查殺此類威脅。金山安全的專家同時說:其他企業或個人用戶都不該心存僥幸,建議盡快安裝MS17-010系統補丁,從而避免被通過網絡的方式感染此類病毒。
目前,金山安全大數據中心仍然在嚴密監控與“永恆之石”相關聯的惡意軟件的所有新生樣本及相關樣本的擴散路徑。關於“永恆之石”蠕虫病毒在中國的區域分布、感染量等關鍵數據,金山安全將在分析后的第一時間,向國家網信辦、國家計算機病毒應急處理中心等機構報告;此外,金山安全願意與所有從事網關防御、終端檢測防御的網絡安全友商協同動作,共同推動“永恆之石”蠕虫病毒在全中國的快速防御。
人民日報客戶端下載
手機人民網
“老猴王”時旺成
