一波未平一波又起,最近一直处于动荡之中的网络安全行业再次绷紧神经,勒索病毒WannaCry余波还未消散,一款名为EternalRocks(永恒之石)的新病毒再度来袭,据了解该病毒同时使用了7个来自NSA的漏洞。据金山安全大数据中心监测数据显示:截止5月25日11时,中国已有6省市存在与“永恒之石”蠕虫病毒相关的恶意软件及其变种。
发出27个恶意软件搜捕令
目前已经发现并公开的共有27个恶意软件及其变种,具有使用或疑似使用上述7个漏洞工具、扫描工具及后门工具展开攻击的可能性。金山安全借助安全大数据分析能力和广泛的客户端安装数量,在全球安全厂商中首次向使用或疑似使用相关漏洞的27个恶意软件发出了全网搜捕。
经金山安全大数据中心专家对相关样本是否在中国有分布、分布在哪些区域进行了严密的大数据分析与判定。截止5月25日11时,中国已有江苏、浙江、广东、广西、陕西、台湾等六省市存在与“永恒之石”蠕虫病毒相关的恶意软件及其变种,其中MD5值分别为198f27f5ab972bfd99e89802e40d6ba7、3771b97552810a0ed107730b718f6fe1、5f714b563aafef8574f6825ad9b5a0bf、994bd0b23cce98b86e58218b9032ffab的四种恶意软件,在中国区域的终端上有批量或个别的存在与潜伏。
据金山安全的专家分析,“永恒之石”攻击过程分为两个阶段,第一阶段是潜伏期(目前潜伏时间为24小时),主要工作是准备运行环境和与暗网中的C&C服务器通信,接收下一步指令,接收到服务端的回应之后进入第二阶段。第二阶段主要是下载NSA泄露的工具,接着利用这些工具进行渗透攻击,感染其它主机。
受EternalRocks蠕虫病毒侵害后的主机会加入到僵尸网络中,接收来自位于暗网中的C&C服务器的指令,由于感染后的机器还会安装NSA武器库中的DoublePulsar后门,所以其它攻击者也可以利用这个后门安装其它恶意软件。
EternalRocks主要通过已公开的4个SMB漏洞利用工具(ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE和ETERNALSYNERGY)、1个后门工具(DOUBLEPULSAR)和2个漏洞扫描工具(ARCHITOUCH和SMBTOUCH)来实现一系列渗透攻击。
完全不必紧张但也不能心存侥幸
金山安全专家早已针对Windows SMB文件共享协议中的漏洞防御形成了安全解决方案。并对未知的恶意软件也形成了有效的防御方案。金山安全的网络安全事业部副总经理李元说:“兵来将挡,水来土掩。使用金山安全产品的用户完全可以不用紧张。”
这次的“永恒之蓝”和“永恒之石”会使网络病毒安全防范进入一个新常态,“网关防护+高危漏洞识别+终端安全防护”将成为主要防御手段。金山安全已基本收集到全部相关样本并第一时间加入到了云库,安装VGM防毒墙或V8+的用户只需及时更新就可有效防范和查杀此类威胁。金山安全的专家同时说:其他企业或个人用户都不该心存侥幸,建议尽快安装MS17-010系统补丁,从而避免被通过网络的方式感染此类病毒。
目前,金山安全大数据中心仍然在严密监控与“永恒之石”相关联的恶意软件的所有新生样本及相关样本的扩散路径。关于“永恒之石”蠕虫病毒在中国的区域分布、感染量等关键数据,金山安全将在分析后的第一时间,向国家网信办、国家计算机病毒应急处理中心等机构报告;此外,金山安全愿意与所有从事网关防御、终端检测防御的网络安全友商协同动作,共同推动“永恒之石”蠕虫病毒在全中国的快速防御。