CNNVD關于“永恒之石”病毒的預警報告

近日，國家信息安全漏洞庫（CNNVD）收到關于“永恒之石”（EternalRocks）病毒的分析報告。該病毒與不久前廣泛傳播的“WannaCry”勒索病毒類似，均利用了今年 4 月方程式組織泄露的漏洞利用工具進行傳播。“永恒之石”感染存在漏洞的主機之后，會潛伏下來，等待遠程C&C（命令與控制）服務器的指令，比“WannaCry”病毒更加隱蔽，不易察覺。

國家信息安全漏洞庫（CNNVD）對此進行了分析研究，情況如下：

一、“永恒之石”背景

“永恒之石”最早由克羅地亞安全專家 Miroslav Stampar 發現和命名，并在 5 月 17 日通過推特發布相關信息。

“永恒之石”主要借鑒了 7 款針對微軟 Windows 系統漏洞的利用工具進行傳播擴散（見表1）。2017 年 4 月 14 日，黑客組織 Shadow Brokers（影子經紀人）公布了黑客組織 Equation Group（方程式組織）的部分泄露文件，其中即包括上述 7 款漏洞利用工具。

表1：“永恒之石”漏洞利用工具列表 

二、“永恒之石”技術特點及危害

（一）技術特點

“永恒之石”掃描 SMB 端口，利用 Windows 操作系統在 445 端口的安全漏洞（CNNVD-201703-721 ~ CNNVD-201703-726）通過網絡感染受害主機，進而使其主動下載 Tor 瀏覽器并與暗網中的C&C服務器建立通信，連接服務器 24 小時后，可在躲避沙盒技術檢測的情況下，主動下載相關漏洞利用工具，進而感染其他主機。同時該病毒會從C&C服務器接收其他指令，可能進行其他攻擊。

a)“永恒之石”利用了方程式組織泄露的 7 個利用工具，與“WannaCry”相比更為復雜；

b)“永恒之石”僅通過網絡進行傳播擴散，而“WannaCry”對感染主機的文件進行難以破解的加密，并勒索比特幣；

c)“永恒之石”并未像“WannaCry”一樣，設置域名開關用于控制病毒傳播；

d)“永恒之石”會在被感染的主機上安裝后門，遠程攻擊者可利用該后門控制被感染主機；

e)“永恒之石”感染主機后，會延遲 24 小時下載攻擊工具，目的在于拖延安全研究人員的響應時間。

（二）潛在危害

a)“永恒之石”經過預定義的休眠期（目前為 24 小時），C＆C服務器才會做出回應，不易被安全檢測沙盒和安全研究人員發現；

b)攻擊者可以通過C&C服務器對受此“永恒之石”感染的計算機設備發出指令進行控制，并將新的惡意軟件發送到已被感染的主機中。

c)與“WannaCry”相比，“永恒之石”雖尚未造成嚴重的危害，但若攻擊者將“永恒之石”與勒索軟件、木馬等綁定，將可能對存在漏洞的主機造成嚴重的威脅。

d)如今尚未出現爆發大規模感染的情況，但結合“WannaCry”對內網的破壞情況可知，內網蔓延的隱患仍然存在。

三、處置建議

1、個人用戶采取應急措施，安裝漏洞修復補丁。“永恒之石”利用了與“WannaCry”勒索蠕蟲相同的微軟安全漏洞，請個人用戶及時檢查安裝 MS17-010 修復補丁，補丁鏈接如下：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

與此同時，及時采取臨時解決方案，一是關閉計算機的 445 端口和 135、137、138、139 等不必要開放的端口；二是配置主機級 ACL 策略封堵 445 端口；三是打開“Windows 防火墻”，進入“高級設置”，在入站規則中禁用“文件和打印機共享”相關規則。

2、網絡管理員修改網絡配置，監控網絡接口。建議各網絡管理員在網絡防火墻上配置相關策略，限制外部對 445 端口的訪問，加強內網審計。同時在接入交換機或核心交換機抓包，查看是否存在大量掃描內網 139、135、445 端口的網絡行為，及時定位掃描發起點，對掃描設備進行病毒查殺，一旦發現被感染主機，立即斷網防止進一步擴散。

3、日常使用規范。在日常計算機使用過程中，對重要信息數據定期及時進行備份；瀏覽網頁和使用電子郵件的過程中，切勿隨意點擊可以鏈接地址；及時更新操作系統及相關軟件版本，實時安裝公開發布的漏洞修復補丁。 

本文作者：CNNVD（政企帳號），本通報由 CNNVD 技術支撐單位——亞信科技（成都）有限公司、杭州安恒信息技術有限公司、北京神州綠盟科技有限公司提供支持。

CNNVD 將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與 CNNVD 聯系。聯系方式: cnnvd@itsec.gov.cn

來自: www.freebuf.com