SMB僵尸网络利用了7个NSA工具，而WannaCry只用了两个……

研究人员检测到一个新的蠕虫通过SMB传播，但与WannaCry ransomware的蠕虫组件不同，这个蠕虫病毒使用了七种NSA工具，而不是两种。

该蠕虫的存在首先在星期三发现，感染了克罗地亚CERT成员Miroslav Stampar的SMB蜜罐，以及用于检测和利用SQL注入缺陷的sqlmap工具的创建者。

EternalRocks使用七种NSA工具
该蠕虫，其中名为EternalRocks的蠕虫基于一个示例中发现的蠕虫可执行属性，通过使用六个以SMB为中心的NSA工具来感染具有在线暴露的SMB端口的计算机。这些是ETERNALBLUE，ETERNALCHAMPION，ETERNALROMANCE和ETERNALSYNERGY，它们是用于破坏易受攻击的计算机的SMB漏洞，而SMBTOUCH和ARCHITOUCH是用于SMB侦察操作的两个NSA工具。

一旦蠕虫获得了这个初步的立足点，那么它将使用另一个NSA工具DOUBLEPULSAR传播到新的易受攻击的机器。

原始的EternalRocks名字

影响超过24万受害者的WannaCry ransomware爆发也使用SMB蠕虫感染电脑并传播给新的受害者。

与EternalRocks不同，WannaCry的SMB蠕虫仅使用ETERNALBLUE进行初始折中，DOUBLEPULSAR将传播到新机器。

EternalRocks更复杂，但危险更小
作为蠕虫，EternalRocks远比WannaCry的蠕虫组件危险得多，因为它目前没有提供恶意内容。然而，这并不意味着EternalRocks不那么复杂。据Stampar说，实际上是相反的。

对于初学者来说，EternalRocks比WannaCry的SMB蠕虫组件更为鬼祟。一旦感染了受害者，蠕虫就会使用两阶段的安装过程，延迟第二阶段。

在首阶段，EternalRocks在受感染的主机上站稳脚跟，下载Tor客户端，并将其位于.onion域上的C＆C服务器，Dark Web。

只有经过预定义的时间段（目前为24小时），C＆C服务器才能做出回应。这个长时间的延迟的作用有可能是绕过沙箱安全测试环境和安全研究人员分析蠕虫，因为很少有人会等待一整天的C＆C服务器的响应。

没有杀死切换域
此外，EternalRocks还使用与WannaCry的SMB蠕虫相同名称的文件，另一个尝试愚弄安全研究人员进行错误分类。

但是与WannaCry不同的是，EternalRocks并不包括一个杀死切换域，安捷伦研究人员用来阻止WannaCry爆发的Achille的脚跟。

初始休眠期到期后，C＆C服务器作出响应，EternalRock进入安装过程的第二阶段，并以名为shadowbrokers.zip的存档形式下载第二阶段恶意软件组件。

该文件的名称是不言自明的，因为它包含由Shadow Brokers小组于2017年4月泄漏的 NSA SMB中心漏洞。

然后，蠕虫开始快速的IP扫描过程，并尝试连接到随机IP地址。

在shadowbrokers.zip存档中找到的NSA工具的配置文件

EternalRocks可以在一瞬间进行武器化
由于其更广泛的漏洞利用漏洞，缺乏杀死转换域，并且由于其初始休眠，EternalRocks可能会对易受攻击的SMB端口暴露于Internet的计算机构成严重威胁，如果其作者将决定将蠕虫与“赎金，银行木马，RAT或其他东西。

乍看起来，蠕虫似乎是一个实验，也是恶意软件作者进行测试和微调未来的威胁。

然而，这并不意味着EternalRocks是无害的。受此蠕虫感染的计算机可通过C＆C服务器命令进行控制，蠕虫的所有者可利用此隐藏的通信通道将新的恶意软件发送到以前被EternalRocks感染的计算机。

此外，具有后门功能的NSA植入物 DOUBLEPULSAR 仍然在受EternalRock感染的PC上运行。不幸的是，蠕虫的作者没有采取措施来保护DOUBLEPULSAR植入物，该植入物在默认的无保护状态下运行，这意味着其他威胁行为者可以将其作为EternalRocks感染机器的后门，将自己的恶意软件发送到这些PC。

IOCs和更多关于蠕虫感染过程的信息可以在几天前建立的GitHub repo Stampar中获得。

一个SMB是免费的
目前，有多个演员扫描运行旧版和未修补版本的SMB服务的计算机。系统管理员已经注意到并开始修补易受攻击的PC，或者禁用旧的SMBv1协议，从而缓慢减少EternalRocks可能感染的易受攻击的机器数量。

此外，恶意软件（如Adylkuzz）也会关闭SMB端口，防止进一步利用其他威胁，也有助于减少EternalRocks和其他SMB狩猎恶意软件的潜在目标数量。从报告Forcepoint，Cyphort和Secdo目前定位与SMB端口的计算机细节其他威胁。

尽管如此，更快的系统管理员会更好地修补他们的系统。“这个蠕虫正在与管理员竞赛，在补丁之前感染机器，”Stampar在一次私人谈话中告诉Bleeping Computer。“一旦被感染，他可以随时随地武装，无论后期的补丁。