2017年5月17日,克羅地亞安全專家(Miroslav Stampar)發(fā)現(xiàn)了一種基于類似WannaCry的蠕蟲病毒,也是通過NSA武器庫中的漏洞進行傳播,該蠕蟲被命名為EternalRocks(永恒之石), “永恒之石”沒有安全驗證開關,相比WannaCry更危險,它不像WannaCry蠕蟲使用了2個NSA攻擊工具,這個惡意軟件使用了7個以SMB為中心的NSA工具來感染那些在線且暴露SMB端口的計算機,一旦該蠕蟲獲得了入侵點,它將使用另一個NSA工具DOUBLEPULSAR傳播到新的那些易受攻擊的機器上去。
“永恒之石”(EternalRocks)蠕蟲細節(jié):
該蠕蟲入侵同樣是利用Windows系統(tǒng) SMB 協(xié)議存在的漏洞(MS17-010),涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系統(tǒng),微軟已經發(fā)布官方安全補丁MS17-070,對漏洞進行了修復。
檢測方式
病毒感染主機后,會創(chuàng)建C:Program FilesMicrosoft Updates目錄,生成多個病毒文件,如下圖:
進入開始菜單—控制面板—管理工具—計劃任務,展開任務計劃程序庫—Microsoft—Windows,病毒會創(chuàng)建2個計劃任務ServiceHost和TaskHost,如下圖:
如何處理和防御?
切斷網絡
檢測階段發(fā)現(xiàn)的已感染病毒的主機應立即進行斷網,避免病毒進一步在網絡內擴散。
關閉TCP 445高危端口
對于未安裝MS17-010補丁的和存在Doublepulsar后門的主機,立即使用ECS安全組公網入和出方向策略封鎖Windows SMB服務TCP 445端口。
安裝補丁
下載安裝MS17-010補丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010