Összefoglaló
Az EternalRocks féreg hét, egykori NSA eszközt egyesít magában (Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy, SMBtouch, Architouch és Doublepulsar), amelyekkel a Windows SMB hibáit használja ki. Jelenleg nem tölt re ransomware, illetve egyéb káros összetevőt, de hátsó kaput nyit, így a számítógépet sérülékennyé teszi jövőbeni támadásokkal szemben.
Leírás
Az SMB-n keresztüli fertőzés után telepíti a TOR-t és azon keresztül jelez a C&C szervernek, ami 24 óra elteltével válaszol.
Technikai részletek:
A fő komponens a “taskhost.exe”, 4.6 MB méretű fájl.
A féreg a lent található mappákban létrehozza az alábbi fájlokat:
c:config:
Architouch.inconfig
Doublepulsar.inconfig
Eternalblue.inconfig
Eternalchampion.inconfig
Eternalromance.inconfig
Eternalsynergy.inconfig
Smbtouchv.inconfig
c:payloads:
ReflectivePick_x64.dll
ReflectivePick_x86.dll
x64.shellcode.out
x86.shellcode.out
c:bins:
trfo-0.dll
pcreposix-0.dll
taskmgr.exe
dmgd-4.dll
ssleay32.dll
zlib1.dll
trfo.dll
pcrecpp-0.dll
riar.dll
eteb-2.dll
etchCore-0.x64.dll
tibe.dll
trch-0.dll
etchCore-0.x86.dll
pcla-0.dll
ucl.dll
riar-2.dll
posh.dll
pcre-0.dll
winlogon.exe
cnli-1.dll
crli-0.dll
posh-0.dll
msdtc.exe
iconv.dll
wmiprvse.exe
zibe.dll
lsass.exe
etch-0.dll
libiconv-2.dll
adfw-2.dll
trfo-2.dll
xdvl-0.dll
cnli-0.dll
exma.dll
etebCore-2.x86.dll
coli-0.dll
csrss.exe
etebCore-2.x64.dll
adfw.dll
trch.dll
tucl-1.dll
tibe-2.dll
spooler.exe
dmgd-1.dll
trch-1.dll
tucl.dll
libeay32.dll
tibe-1.dll
libxml2.dll
libcurl.dll
esco-0.dll
Megoldás
Amennyiben lehetséges, a régebbi Windows verziókat cserélje le a legújabb verziókra.
Telepítse az összes javítást.
Támadás típusa
backdoorHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: github.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: heimdalsecurity.com
Egyéb referencia: fossbytes.com
