EternalRocks to nowe szkodliwe oprogramowanie wykorzystujące eksploity EternalBlue i DoublePulsar, które zostały opracowane przez amerykańską Narodową Agencję Bezpieczeństwa (NSA), a wykradzione przez grupę hakerów Shadow Brokers i użyte w ramach głośnego ataku ransomware WannaCry. Wirus EternalRocks korzysta również z pięciu innych eksploitów i narzędzi udostępnionych w podobny sposób przez tę samą grupę: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch oraz SMBTouch. Większość z tych eksploitów atakuje protokół Server Message Block (SMB) firmy Microsoft, służący do udostępniania zasobów między węzłami w sieci.
Po zainfekowaniu komputera docelowego, oprogramowanie EternalRocks uruchamia dwuetapowy proces instalacji:
W pierwszym etapie szkodliwe oprogramowanie pobiera klienta sieci Tor i wykorzystuje jako kanał komunikacyjny do łączenia się z serwerem sterującym. Serwer C&C nie wysyła odpowiedzi natychmiast, a dopiero po 24 godzinach. Eksperci spekulują, że opóźnienie to ma na celu obejście mechanizmów testowania i analizy zabezpieczeń w wydzielonych środowiskach (ang. sandbox).
W ramach odpowiedzi serwer C&C wysyła plik ZIP o nazwie „shadowbrokers.zip„, zawierający eksploity oparte na technologii NSA. Po rozpakowaniu archiwum oprogramowanie EternalRocks skanuje Internet w poszukiwaniu systemów z otwartym portem 445, za pośrednictwem których rozprzestrzenia się omawiany robak. Niektóre z luk wykorzystywanych przez oprogramowanie EternalRocks zostały usunięte w ramach opublikowanej przez firmę Microsoft w marcu aktualizacji MS17-010.
Istotną różnicą między wirusami WannaCry i EternalRocks jest to, że ten ostatni nie zawiera jak dotychczas żadnego niebezpiecznego „ładunku”. Zdolność szkodliwego oprogramowania EternalRocks do szybkiego rozprzestrzeniania się oznacza jednak, że zainfekowane systemy mogą być narażone na niepożądane konsekwencje, jeśli oprogramowanie zostanie odpowiednio „uzbrojone”. EternalRocks ma również dodatkową przewagę nad oprogramowaniem WannaCry – skutki działania WannaCry udało się ograniczyć dzięki istnieniu mechanizmu autodestrukcji (killswitch), który aktywował się w momencie wykrycia dostępności określonej domeny. EternalRocks nie ma takiego mechanizmu, co utrudnia powstrzymanie rzeczywistego ataku.
Nawet jeśli szkody poczynione przez oprogramowanie WannaCry nie były dla użytkowników wystarczającym powodem do zainstalowania aktualizacji i poprawek w systemach, to pojawienie się potencjalnie jeszcze groźniejszego wariantu powinno skłonić do natychmiastowego działania. Z uwagi na to, że EternalRocks wykorzystuje te same eksploity co WannaCry, administratorzy systemów i indywidualni użytkownicy powinni natychmiast zainstalować w swoich systemach niezbędne poprawki – zanim oprogramowanie EternalRocks zostanie wyposażone w naprawdę szkodliwe elementy. W przypadku zagrożeń takich jak WannaCry czy EternalRocks zapobieganie jest zwykle znacznie łatwiejsze niż ewentualne leczenie.
Więcej szczegółów na temat historii i ewolucji ransomware, a także rekomendacji od firmy Trend Micro, znajduje się pod tym linkiem.
