永恒之石（EternalRocks）蠕.PDF

“永恒之石”（EternalRocks）蠕虫病毒安全预警通告 “永恒之石”（EternalRocks ）蠕 虫病毒安全预警通告 2017 年 05 月 23 日 “永恒之石”（EternalRocks）蠕虫病毒安全预警通告 目录 第1 章 安全通告3 第2 章 事件信息4 2.1 事件描述4 2.2 风险等级4 第3 章 技术分析5 3.1 行为描述5 3.2 感染情况6 3.3 ETERNAL ROCKS （永恒之石）特点6 3.4 IOC7 3.5 整体影响评估8 第4 章 处置建议9 第5 章 参考文档10 第 2 页 共 10 页 “永恒之石”（EternalRocks）蠕虫病毒安全预警通告 第1章 安全通告 尊敬的客户： 360 安全监测与响应中心现向您发布近期新发现的“永恒之石”（EternalRocks） 蠕虫病毒安全预警通告，这个恶意代码家族使用了 7 个来自 NSA 数字武器库中 的组件，其中包括4 个攻击SMB 服务的漏洞工具，其植入后门进行潜伏的行为 可能酝酿着更为险恶的行动，需要用户引起警惕。 4 月16 日，360 安全监测与响应中心发布了 《NSA 黑客工具泄漏安全预警通 告》，一大批新的NSA 相关网络攻击工具及文档被Shadow Brokers 组织公布， 其中包含了涉及多个Windows 系统服务（SMB、RDP、IIS）的远程命令执行工具。 5 月13 日，360 安全监测与响应中心发布了 《关于防范基于SMB 文件共享传播 的蠕虫病毒攻击紧急安全预警通告》，这是不法分子通过改造之前泄露的 NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。近日安全研究人员又 发现一种新家族恶意代码 “永恒之石”，与近期席卷全球的勒索蠕虫 WannaCry 不同， “永恒之石”感染一台电脑后会下载Tor （洋葱路由）的个人浏览器并向 病毒隐藏的服务器发信号。在经过24 小时的潜伏期后，服务器会启动，病毒开 始下载并自我复制。恶意代码当前追求秘密地控制机器，在需要的时候执行黑客 的指令。 360 安全监测与响应中心也将持续关注该事件进展，并第一时间为您更新该 漏洞信息。 第 3 页 共 10 页 “永恒之石”（EternalRocks）蠕虫病毒安全预警通告 第2章 事件信息 2.1 事件描述 据CNET 北京时间5 月23 日报道，勒索病毒WannaCry 的余波还未消散，就 有更恐怖的新病毒出现了。上周末，研究人员发现了名为 EternalRocks （永恒之 石）的新病毒，该病毒一次用了7 个来自NSA 数字武器库的组件。 本月月初，WannaCry 病毒就瘫痪了许多国家的医院、学校和办公机构，受 影响的电脑超过30 万台， 在WannaCry 肆虐几天后，网络上还出现了与它共用 漏洞的新病毒Adylkuzz ，该病毒不勒索比特币，而是利用用户计算机挖矿（挖掘 虚拟货币）。 与 WannaCry 不同，永恒之石在感染一台电脑后它会下载 Tor （洋葱路由） 的个人浏览器并向病毒隐藏的服务器发信号。在24 小时的潜伏期后，服务器会 启动，病毒开始下载并自我复制，攻击者通过 CC 对受感染的系统进行秘密控 制，根据需要随时执行各类恶意操作，包括且不仅限于勒索、窃取信息、执行 DDOS、发垃圾邮件等。 2.2 风险等级 3