Bu yaxınlarda kəşf edilmiş EternalRocks qurdunun öldürücü açarı yoxdur və yüksək yoluxucudur. O, NSA-nın sızdırılmış alətlərindən istifadə edir və sürətlə ransomware, bank troyanları və ya RAT-larla silahlandırıla bilər.
Yeni zərərli proqram növü olan WannaCry tərəfindən son 10 gündə bütün dünyada fəlakətə səbəb olan bir sıra ransomware hücumlarından sonra " EternalRocks” təhlükəsizlik tədqiqatçısı Miroslav Stampar tərəfindən müəyyən edilmişdir. Onu çərşənbə günü Windows 7 bal küpündəki nümunədən virusa yoluxduğu zaman aşkar edib.
Onun orijinal adı “MicroBotMassiveNet”dir və Stampar onu “DoomsDayWorm” adlandırıb. EternalRocks Taskhost xassələri altında məhsul adı kimi qeyd olunub.
EternalRocks, WannaCry tərəfindən hücumlarda istifadə edilən EternalBlue daxil olmaqla, sızmada olan bütün SMB istismarlarından istifadə edərək yayılır. EternalRocks yalnız EternalBlue-dan istifadə etmir, o, həmçinin EternalChampion, EternalRomance və EternalSynergy, həmçinin ArchiTouch, SMBTouch və DoublePulsar nüvə istismarından istifadə edir.
EternalRocks özünü təkrarlayan zərərli proqramdır, o, daha çox təhdidləri ehtiva edir və WannaCry-dən daha iyrənc. O, bir neçə SMB (Server Message Block) zəifliyi vasitəsilə yayılır və Windows vasitəsilə özünü bir kompüterdən digərinə yaymaq üçün EtnernalBlue kimi tanınan NSA alətindən istifadə edir.
Həmçinin Baxın: WannaCry və Digər Ransomware Hücumlarından Necə Təhlükəsiz Olmaq olar
EternalRocks haqqında bilməli olduğunuz bir neçə vacib şey:
Bal küpü informasiya sistemlərindən icazəsiz istifadəyə cəhd edən hakerləri cəlb etmək, aşkar etmək və yayındırmaq üçün tələ rolunu oynayan kompüter təhlükəsizlik mexanizmidir. O, kiber hücumçuları qəsdən cəlb etmək və aldatmaqla internet üzərindən həyata keçirilən zərərli fəaliyyətləri müəyyən edir.
EternalRocks dan nə ilə fərqlənir? >WannaCry?
EternalRo olsa da cks Windows-u aktivləşdirən sistemləri yoluxdurmaq üçün eyni marşrutdan və zəiflikdən istifadə edir, bunun daha təhlükəli olduğu deyilir, çünki NSA-dan sızdırılmış WannaCry ilə müqayisədə yeddi haker alətinin hamısından istifadə edir.
Yalnız iki NSA aləti olan WannaCry zərərli proqramı 150 ölkəyə və dünya üzrə 2,40,000-dən çox maşına təsir edərək fəlakətə səbəb oldu. Beləliklə, biz EternalRocks-un yeddi NSA alətindən istifadə edərək nə edə biləcəyini təsəvvür edə bilərik.
“DoomsDayWorm”un unikal xüsusiyyəti ondan ibarətdir ki, əlavə yükləmək üçün arxa qapıdan istifadə etməzdən əvvəl iyirmi dörd saat müddətində səssizcə gözləyir. komanda və idarəetmə serverindən zərərli proqram. WannaCry ransomware-dən fərqli olaraq, onun yayılması təhlükəsizlik bloqçusu tərəfindən aşkar edilmiş öldürücü açar səbəbindən dayandırılmışdır.
Birinci mərhələdə EternalRocks TOR-u C&C (Command-and-Control) rabitə kanalı kimi quraşdırır. İkinci mərhələ C&C serveri shadowbrokers.zip ilə cavab verəndə 24 saat keçdikdən sonra başlayır. Sonra o, faylı paketdən çıxarır və internetin açıq 445 SMB portu üçün təsadüfi skan etməyə başlayır.
TOR nədir?
Görünməyən gözləri hər yerdə bağlayan proqram
TOR istifadəçilərə internetə anonim baxmaq imkanı verən proqramdır. TOR əvvəlcə The Onion Router adlanırdı, çünki o, istifadəçi fəaliyyəti haqqında məlumatı gizlətmək üçün istifadə edilən soğan marşrutlaşdırma adlı texnikadan istifadə edir. TOR identifikasiya və marşrutlaşdırmanı ayırmaqla internet fəaliyyətini izləməyi çətinləşdirir, o, IP ünvanı daxil olmaqla məlumatları şifrələyir.
C&C (Command-and-Control) rabitə kanalı nədir? strong>
C&C serverləri və ya C2 adlanan komanda və idarəetmə serverləri hədəf şəbəkə daxilində təhlükəyə məruz qalmış sistemlərlə əlaqə saxlamaq üçün təcavüzkarlar tərəfindən istifadə olunan kompüterlərdir.
Yeddi NSA aləti EternalRocks tərəfindən istifadə edilən ShadowBrokers tərəfindən sızdırılıb:
EternalBlue — şəbəkəyə daxil olmaq üçün istifadə edilən SMB1 və SMB2 istismarı
EternalRomance — Windows XP-ni hədəfləyən uzaq SMB1 şəbəkə fayl serveri istismarı , Server 2003, Vista, Windows 7, Windows 8, Server 2008 və Server 2008 R2
Eternal Champion — SMBv2 istismar aləti
EternalSynergy — potensial olaraq işləyən SMB3-ə qarşı uzaqdan kod icrası istismarı əməliyyat sistemlərinə qarşı.
Yuxarıdakı 4 alət həssas Windows kompüterlərini təhlükə altına almaq üçün nəzərdə tutulub.
SMBTouch — SMB kəşfiyyat vasitəsi
ArchTouch — SMB kəşfiyyat vasitəsi
Skan etmək üçün yuxarıdakı 2 alətdən istifadə olunur ictimai şəbəkədə açıq SMB portları üçün.
DoublePulsar — ransomware quraşdırmaq üçün istifadə olunur
Eyni şəbəkə üzrə qurdun bir kompüterdən digərinə yayılmasına kömək edir.
WannaCry ransomware proqramı EternalBlue və ya Backdoor, DoublePulsar istismarından istifadə edən yeganə zərərli proqram deyil. Adylkuzz kimi tanınankriptovalyuta mədənçisi yoluxmuş maşınlarda virtual valyutalar zərb edir. Bənzər hücum vektoru vasitəsilə yayılan digər zərərli proqram UIWIX kimi tanınır.
Yaxşı tərəfi
EternalRocks haqqında heç bir məlumat yoxdur. silahlanmışdır. Fidyə proqramı kimi zərərli yük barədə məlumat verilmir.
Pis hissə
Effektlər SMB yamaqları daha sonra tətbiq olunduqca, maşınlar EternalRocks tərəfindən yoluxmuşdur. qurdlar DOUBLEPULSAR NSA aləti vasitəsilə uzaqdan əldə edilə bilər. EternalRocks tərəfindən qoyulmuş arxa qapı Trojan DOUBLEPULSAR quraşdırması həmişə hakerlər üçün qapını açıq saxlayır.
Belə hücumlardan qorunmaq üçün nə etməli?
İctimaiyyətdə SMB portlarına xarici girişi bloklayın. internet
- Bütün SMB zəifliklərini düzəldin
- C&C serverlərinə girişi və Torproject.org saytına girişi bloklayın
- İstənilən yeni əlavə edilmiş planlaşdırılan tapşırıqları izləyin
- Windows ƏS-nizi yeniləyin
- Antivirusunuzu quraşdırın və yeniləyin
- Şübhəli keçidlər və sisteminiz arasında maneə yaratmaq üçün sistem təhlükəsizlik duvarını quraşdırın və ya aktivləşdirin
- Açıq parametrlərdən və sadə parollardan qaçmağa çalışın. Əlifba və rəqəmlərin birləşməsindən istifadə etməyə çalışın. Böyük və kiçik hərflərin kombinasiyası da daha təhlükəsiz yanaşmadır.
Windows-un pirat versiyalarından istifadə etməyin, əgər sizdə varsa, sisteminiz infeksiyaya daha həssasdır. Ən yaxşısı Windows ƏS-nin orijinal versiyasını quraşdırmaq və istifadə etməkdir.
oxumaq: 0
