Yakın zamanda keşfedilen EternalRocks solucanının durdurma anahtarı yoktur ve son derece bulaşıcıdır. NSA'nın sızdırılan araçlarından yararlanır ve fidye yazılımı, bankacılık Truva atları veya RAT'larla hızla silah haline getirilebilir.
Yeni bir kötü amaçlı yazılım türü olan WannaCry tarafından son 10 gün içinde dünya çapında büyük hasara yol açan bir dizi fidye yazılımı saldırısından sonra “ EternalRocks” güvenlik araştırmacısı Miroslav Stampar tarafından tespit edildi. Çarşamba günü Windows 7 honeypot'undaki bir örnekte virüs bulaştığında keşfedildi.
Orijinal adı "MicroBotMassiveNet" ve Stampar ona "DoomsDayWorm" adını verdi. EternalRocks, Taskhost özellikleri altında bir ürün adı olarak listeleniyor.
EternalRocks, WannaCry'nin saldırılarda kullandığı EternalBlue da dahil olmak üzere sızıntıdaki tüm KOBİ açıklarını kullanarak yayılıyor. EternalRocks yalnızca EternalBlue'yu kullanmakla kalmaz, aynı zamanda EternalChampion, EternalRomance ve EternalSynergy'nin yanı sıra ArchiTouch, SMBTouch ve DoublePulsar çekirdek istismarını da kullanır.
EternalRocks kendi kendini kopyalayan kötü amaçlı yazılımdır, çok daha fazla tehdit içerir ve WannaCry'dan daha iğrenç. Çeşitli SMB (Sunucu Mesaj Bloğu) güvenlik açıkları aracılığıyla yayılır ve kendisini Windows üzerinden bir bilgisayardan diğerine yaymak için EtnernalBlue olarak bilinen NSA aracını kullanır.
Ayrıca Bkz. WannaCry ve Diğer Fidye Yazılımı Saldırılarından Nasıl Korunulur?
EternalRocks hakkında bilmeniz gereken birkaç önemli şey:
Bir bal küpü, bilgi sistemlerini izinsiz kullanmaya çalışan bilgisayar korsanlarını cezbetmek, tespit etmek ve saptırmak için bir tuzak görevi görecek şekilde kurulmuş bir bilgisayar güvenlik mekanizmasıdır. Siber saldırganlarla kasıtlı olarak etkileşim kurarak ve onları aldatarak internet üzerinden gerçekleştirilen kötü amaçlı etkinlikleri tanımlar.
EternalRocks'ınfarkı >Cry mı istiyorsunuz?
EternalRo'ya rağmen cks, Windows özellikli sistemlere bulaşmak için aynı yolu ve zayıflığı kullanıyor; NSA'dan sızdırılan WannaCry'ye kıyasla yedi hackleme aracının tümünü kullandığı için çok daha tehlikeli olduğu söyleniyor.
WannaCry kötü amaçlı yazılımı, yalnızca iki NSA aracıyla dünya genelinde 150 ülkeyi ve 2.40.000'den fazla makineyi etkileyerek felakete neden oldu. Yedi NSA aracını kullanan EternalRocks'ın neler yapabileceğini hayal edebiliyoruz.
“DoomsDayWorm”un benzersiz özelliği, ek indirmeler yapmak için arka kapıyı kullanmadan önce yirmi dört saatlik bir süre boyunca sessizce beklemesidir. Komuta ve kontrol sunucusundan kötü amaçlı yazılım. Bir güvenlik blog yazarı tarafından keşfedilen bir öldürme anahtarı nedeniyle yayılması durdurulan WannaCry fidye yazılımının aksine.
İlk aşamada EternalRocks, TOR'u bir C&C (Komut ve Kontrol) iletişim kanalı olarak yükler. İkinci aşama, 24 saat geçtikten sonra C&C sunucusunun shadowbrokers.zip ile yanıt vermesiyle başlar. Daha sonra dosyayı açar ve internetin açık 445 SMB bağlantı noktası için rastgele bir tarama başlatır.
TOR nedir?
Her yerde oldukları için Görünmeyen gözleri kapatan yazılım
TOR, kullanıcıların web'de anonim olarak gezinmesine olanak tanıyan bir yazılımdır. TOR, kullanıcı etkinliği hakkındaki bilgileri gizlemek için kullanılan, soğan yönlendirme adı verilen bir tekniği kullandığından, orijinal olarak Soğan Yönlendiricisi olarak adlandırıldı. TOR, tanımlama ve yönlendirmeyi ayırarak internet etkinliğinin izlenmesini zorlaştırır ve IP adresi de dahil olmak üzere verileri şifreler.
Komuta ve Kontrol (Komuta ve Kontrol) iletişim kanalı nedir?
Komuta ve Kontrol) iletişim kanalı nedir?
C&C sunucuları veya C2 olarak da adlandırılan komut ve kontrol sunucuları, saldırganlar tarafından hedef ağdaki güvenliği ihlal edilmiş sistemlerle iletişimi sürdürmek için kullanılan bilgisayarlardır.
Yedi NSA aracı EternalRocks tarafından kullanılan ShadowBrokers tarafından sızdırıldı:
EternalBlue — ağa girmek için kullanılan SMB1 ve SMB2 istismarı
EternalRomance — Windows XP'yi hedefleyen uzak bir SMB1 ağ dosya sunucusu istismarı , Server 2003, Vista, Windows 7, Windows 8, Server 2008 ve Server 2008 R2
EternalChampion — SMBv2 istismar aracı
EternalSynergy — SMB3'e karşı potansiyel olarak işe yarayan bir uzaktan kod yürütme istismarı işletim sistemlerine karşı.
Yukarıdaki 4 araç, savunmasız Windows bilgisayarlarını tehlikeye atmak için tasarlanmıştır.
SMBTouch — KOBİ keşif aracı
ArchTouch — KOBİ keşif aracı
Yukarıdaki 2 araç taramak için kullanılır genel ağdaki açık SMB bağlantı noktaları için.
DoublePulsar — fidye yazılımını yüklemek için kullanılır
Solucanın aynı ağ üzerinde bir bilgisayardan diğerine yayılmasına yardımcı olur.
WannaCry fidye yazılımı, EternalBlue'yu veya arka kapı olan DoublePulsar istismarını kullanan tek kötü amaçlı yazılım değildir. Adylkuzz olarak bilinen birkripto para madencisi, virüslü makinelerde sanal para basıyor. Benzer bir saldırı vektörü yoluyla yayılan başka bir kötü amaçlı yazılım, UIWIX olarak bilinir.
İyi tarafı
EternalRocks'a ilişkin herhangi bir rapor yoktur silahlandırılmış olması. Fidye yazılımı gibi kötü amaçlı yük bildirilmemiştir.
Kötü tarafı
SMB yamalarının etkileri daha sonra uygulandığından, makinelere EternalRocks bulaşmıştır. DOUBLEPULSAR NSA aracı aracılığıyla solucanlara uzaktan erişilebiliyor. EternalRocks'un geride bıraktığı arka kapı Truva Atı DOUBLEPULSAR kurulumu, bilgisayar korsanlarına kapıyı her zaman açık tutuyor.
Bu tür saldırılardan korunmak için ne yapılmalı?
Kamuya açık KOBİ bağlantı noktalarına harici erişimi engelleyin internet
- Tüm KOBİ güvenlik açıklarını giderin
- C&C sunucularına erişimi engelleyin ve Torproject.org'a erişimi engelleyin
- Yeni eklenen zamanlanmış görevleri izleyin
- Windows işletim sisteminizi güncelleyin
- Anti-virüsünüzü yükleyin ve güncelleyin
- Şüpheli bağlantılarla sisteminiz arasında bir bariyer oluşturmak için sistem güvenlik duvarını yükleyin veya etkinleştirin
- Belirgin ayarlardan ve basit şifrelerden kaçınmaya çalışın. Harf ve sayıların bir kombinasyonunu kullanmayı deneyin. Büyük ve küçük harflerin birleşimi de daha güvenli bir yaklaşımdır.
Windows'un korsan sürümlerini kullanmayın, eğer varsa sisteminiz enfeksiyona karşı daha duyarlıdır. Windows işletim sisteminin orijinal sürümünü yükleyip kullanmak en iyisidir.
Okunma: 0
