Születőben van a WannaCry vírus utóda

Az EternalRocks egyelőre nem tartalmaz rosszindulatú összetevőt, azonban komoly károkat okozhat, ha a kiberbűnözők felfegyverzik.
 

Az elmúlt hetekben óriási pusztítást végző WannaCry zsaroló program két olyan sebezhetőséget használt ki, amelyek az amerikai NSA-től szivárogtak ki. A Trend Micro szakértői az elmúlt napokban egy újabb kártevőt fedeztek fel, ami ugyanezt a két biztonsági rést és további öt másikat céloz. Ez utóbbiakat szintén a Shadow Brokers hackercsoport hozta nyilvánosságra.
 
Az EternalRocks névre keresztelt malware egyelőre nem okozott jelentős károkat, viszont agresszíven terjed, és ha "felfegyverzik", akkor az a WannaCry-nál is komolyabb következményekkel járhat.
 
Az EternalRocks a WannaCry zsaroló program által használt EternalBlue és a DoublePulsar exploitok mellett az EternalChampion, az EternalRomance, az EternalSynergy, az ArchiTouch és az SMBTouch nevű exploitokat is magában foglalja. Ezek többsége a Microsoft Server Message Block (SMB) protokollt célozza.
 
A kártevő két fázisban fertőz. Az első lépésben letölt egy TOR-klienst, amelyet kommunikációs csatornaként felhasználva kapcsolatba lép a vezérlőszerverével. A kiszolgáló a megszokottól eltérően nem azonnal, hanem csak 24 óra elteltével küld választ. Ez a késleltetett visszajelzés feltehetőleg azt a célt szolgálja, hogy ezáltal megkerülhető legyen a sandbox tesztelés és a biztonsági elemzés.
 
Amikor a vezérlőszerver válaszol, akkor elküld egy taskhost.exe fájlt, ami aztán letölti a shadowbrokers.zip nevű, exploitokban bővelkedő, tömörített állományt. A kitömörítés után az EternalRocks figyelni kezdi az internetet, és olyan rendszereket keres, amelyeken nyitott a 445-ös port.
 
Az egyik lényeges különbség a WannaCry és az EternalRocks között, hogy az utóbbi nem tartalmaz rosszindulatú elemet, legalábbis az eddigi megfigyelések szerint. Mivel azonban gyorsan képes terjedni, azért kétség sem férhet hozzá, hogy egyes kiberbűnözői csoportok hamar felfigyelnek rá, és kiegészítik azt olyan komponensekkel, modulokkal, amik már valódi károkozásra is alkalmassá teszik a programot.
 
"Célszerű többrétegű védelmi rendszereket bevezetni, amelyek újgenerációs megoldásokat alkalmazva hatékonyan veszik fel a harcot a hasonló kártevők ellen. Ilyen technológiák például a gépi tanulás, a viselkedés alapú analízis vagy éppen a sandbox környezetben történő elemzés. Az említett sebezhetőségeket kihasználó kártevők jelenléte arra is rávilágít, hogy a belső hálózati forgalom védelme nem kap elég figyelmet. A vállalatok és a szervezetek többsége a hálózati védelmen sajnos elsősorban a határvédelmet érti, és a belső mozgásokat nem képes hatékonyan észlelni, illetve megállítani" - foglalta össze Gömbös Attila, a Trend Micro rendszermérnöke.