Un nuevo gusano que se propaga a través de SMB, pero a diferencia de ransomware WannaCry, éste usa 7 herramientas de la NSA en lugar de 2.
La existencia de este gusano llegó por primera vez a la luz el miércoles 17 de mayo, después de que se infectó el honeypot SMB de Miroslav Stampar, miembro del Gobierno croata del CERT, y creador de la herramienta sqlmap utilizado para detectar y explotar los errores de inyección SQL.EternalRocks utiliza siete herramientas de la NSA
El gusano, llamado EternalRocks esta basado en las propiedades gusano ejecutables, funciona mediante el uso de herramientas de seis SMB-centric para infectar un ordenador con puertos SMB expuestos en línea. Estos son ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE y ETERNALSYNERGY, que son hazañas SMB utilizados para comprometer los ordenadores vulnerables, mientras que SMBTOUCH y ARCHITOUCH son dos herramientas NSA utilizados para las actividades de reconocimiento SMB.Una vez que el gusano ha obtenido este punto de apoyo inicial, luego utiliza otra herramienta NSA, DOUBLEPULSAR, que se propaguen a nuevas máquinas vulnerables.
El brote ransomware WannaCry, que afectó a más de 240.000 víctimas, también utilizó un gusano de SMB para infectar los ordenadores y se extendió a nuevas víctimas.
A diferencia de EternalRocks, gusano de SMB WannaCry utiliza sólo ETERNALBLUE por el compromiso inicial, y DOUBLEPULSAR se propaguen a nuevas máquinas.
Como un gusano, EternalRocks es mucho menos peligroso que el componente del gusano de WannaCry, ya que actualmente no entrega ningún contenido malicioso. Sin embargo, esto no significa que EternalRocks es menos complejo. De acuerdo con Stampar, en realidad es todo lo contrario.
Para empezar, EternalRocks es mucho más astuto que el componente SMB gusano de WannaCry. Una vez que infecta una víctima, el gusano utiliza un proceso de instalación de dos etapas, con una segunda fase retardada.
Durante la primera etapa, EternalRocks gana un punto de apoyo en un huésped infectado, descarga el cliente Tor, y balizas de su servidor de C & C, que se encuentra en un dominio .onion, del Dark Web.
Sólo después de un período de tiempo predefinido- En la actualidad las 24 horas responde el servidor C & C. El papel de esta larga demora es muy probablemente para eludir entornos de prueba de seguridad y los investigadores de seguridad que analizan el gusano, ya que muy pocos podrán esperar un día completo para una respuesta desde el servidor C & C.
Además, EternalRocks también utiliza los archivos con nombres idénticos a los utilizados por el gusano de SMB WannaCry, en otro intento de engañar a los investigadores de seguridad en la clasificación errónea de la misma.
Pero a diferencia de WannaCry, EternalRocks no incluye un dominio interruptor, el talón de Aquiles de la seguridad que los investigadores utilizan para detener el brote WannaCry.
Después del período de latencia inicial expira y el servidor C & C responde, EternalRocks entra en la segunda etapa de su proceso de instalación y descarga un segundo componente de la plataforma de software malicioso en forma de un archivo llamado shadowbrokers.zip.
El nombre de este archivo es bastante explica por sí mismo, ya que contiene exploits NSA SMB filtrados por el grupo Shadow Brokers en abril de 2017.
El gusano se inicia un proceso de exploración IP rápida e intenta conectarse a direcciones IP aleatorias.
EternalRocks podrían ser convertidos en armas en un instante
Debido a su arsenal más amplio de exploits, la falta de un dominio interruptor, y debido a su latencia inicial, EternalRocks podría plantear una seria amenaza para los ordenadores con puertos SMB vulnerables expuestos a Internet, si su autor hubiera alguna vez decide convertir en armas el gusano con ransomware, un troyano bancario, las ratas, o cualquier otra cosa.
A primera vista, el gusano parece ser un experimento, o un autor de software malicioso realización de pruebas y puesta a punto de una amenaza en el futuro.
Sin embargo, esto no significa EternalRocks es inofensivo. Los ordenadores infectados con este gusano son controlables a través de los comandos del servidor C & C y el dueño del gusano podría aprovechar este canal de comunicación oculto para enviar el nuevo malware en los equipos previamente infectados por EternalRocks.
Para empezar, EternalRocks es mucho más astuto que el componente SMB gusano de WannaCry. Una vez que infecta una víctima, el gusano utiliza un proceso de instalación de dos etapas, con una segunda fase retardada.
Durante la primera etapa, EternalRocks gana un punto de apoyo en un huésped infectado, descarga el cliente Tor, y balizas de su servidor de C & C, que se encuentra en un dominio .onion, del Dark Web.
Sólo después de un período de tiempo predefinido- En la actualidad las 24 horas responde el servidor C & C. El papel de esta larga demora es muy probablemente para eludir entornos de prueba de seguridad y los investigadores de seguridad que analizan el gusano, ya que muy pocos podrán esperar un día completo para una respuesta desde el servidor C & C.
Además, EternalRocks también utiliza los archivos con nombres idénticos a los utilizados por el gusano de SMB WannaCry, en otro intento de engañar a los investigadores de seguridad en la clasificación errónea de la misma.
Pero a diferencia de WannaCry, EternalRocks no incluye un dominio interruptor, el talón de Aquiles de la seguridad que los investigadores utilizan para detener el brote WannaCry.
Después del período de latencia inicial expira y el servidor C & C responde, EternalRocks entra en la segunda etapa de su proceso de instalación y descarga un segundo componente de la plataforma de software malicioso en forma de un archivo llamado shadowbrokers.zip.
El nombre de este archivo es bastante explica por sí mismo, ya que contiene exploits NSA SMB filtrados por el grupo Shadow Brokers en abril de 2017.
El gusano se inicia un proceso de exploración IP rápida e intenta conectarse a direcciones IP aleatorias.
EternalRocks podrían ser convertidos en armas en un instante
Debido a su arsenal más amplio de exploits, la falta de un dominio interruptor, y debido a su latencia inicial, EternalRocks podría plantear una seria amenaza para los ordenadores con puertos SMB vulnerables expuestos a Internet, si su autor hubiera alguna vez decide convertir en armas el gusano con ransomware, un troyano bancario, las ratas, o cualquier otra cosa.A primera vista, el gusano parece ser un experimento, o un autor de software malicioso realización de pruebas y puesta a punto de una amenaza en el futuro.
Sin embargo, esto no significa EternalRocks es inofensivo. Los ordenadores infectados con este gusano son controlables a través de los comandos del servidor C & C y el dueño del gusano podría aprovechar este canal de comunicación oculto para enviar el nuevo malware en los equipos previamente infectados por EternalRocks.
