Warning: session_start(): open(/var/cpanel/php/sessions/ea-php54/sess_lno2tue6d9kq1eq2i87nckkq12, O_RDWR) failed: No space left on device (28) in /home/itextreme/public_html/index.php on line 3
IT-Extreme - EternalRocks: a WannaCry-nál is veszélyesebb zsarolóvírus a láthatáron

Lap tetejére
Hirek Tesztek RSS facebook
IT-Extreme hírportál
Számítástechnika
sulaki - 2017-05-29

Az új kártevő az elődénél is gyorsabban képes terjedni

Az elmúlt hetekben óriási pusztítást végző WannaCry zsarolóvírus két olyan sebezhetőséget használt ki, amely az amerikai NSA-től szivárgott ki. A napokban egy újabb kártevőt fedeztek fel, amely ugyanezt a két biztonsági rést és további öt másikat céloz meg, amelyekről szintén a Shadow Brokers hackercsoport szivárogtatta ki az információkat az NSA-től. Az EternalRocks névre keresztelt malware egyelőre nem okozott jelentős károkat, viszont agresszíven terjed, és ha „felfegyverzik”, a WannaCry-nál is komolyabb következményekkel járhat.

 

Hét biztonsági résre utazik

Az EternalRocks nemcsak a korábban a Shadow Brokers hackercsoport által kiszivárogtatott és a WannaCry zsaroló program által használt EternalBlue és a DoublePulsar exploit-okat, hanem öt további hasonló eszközt alkalmaz: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch és SMBTouch. Ezek többsége a Microsoft
Server Message Block
(SMB) protokollt célozza, amely a hálózati csomópontok közötti hozzáférés-megosztásért felelős.


 

A kártevő kétlépcsős telepítési eljárást hajt végre, miután megfertőzte a célrendszert. Az első lépésben letölti a TOR-klienst, amelyet kommunikációs csatornaként használva kapcsolatba lép a
Command
& Control (C&C) parancsvezérlő szerverével. A C&C kiszolgáló a megszokottól eltérően nem azonnal, hanem csak 24 óra elteltével küld választ. Ez a késleltetett visszajelzés feltehetőleg azt a célt szolgálja, hogy ezáltal megkerülhető legyen a
sandbox
tesztelés és a biztonsági elemzés. Amikor a C&C kiszolgáló válaszol, elküldi a
taskhost.exe nevű fő összetevőt, ez letölti a shadowbrokers.zip nevű tömörített fájlt, amely a biztonsági réseket kiaknázó exploitokat tartalmazza. A kitömörítés után az EternalRocks figyelni kezdi az internetet, és olyan rendszereket keres, amelyeken meg van nyitva a 445-ös port, mivel ez szolgál átjáróként a féreg fertőzéséhez. Az EternalRocks által kiaknázott biztonsági rések egy részét a Microsoft már javította a márciusban kiadott MS17-010 frissítéssel.

 

Veszélyesebb, mint a WannaCry

Az egyik lényeges különbség a WannaCry és az EternalRocks között, hogy az utóbbi nem tartalmaz rosszindulatú elemet, legalábbis az eddigi megfigyelések szerint. Mivel azonban gyorsan képes terjedni, az EternalRocks-fertőzött rendszerek nemkívánatos következményeket szenvedhetnek el, ha a kártevőt valaki felfegyverzi.

 

A WannaCry ezenfelül tartalmaz egy vészleállító kapcsolót, amely azonnal aktiválódik, ha észleli, hogy egy adott tartomány „élő”. Az EternalRocksban nincs ilyen vészleállító kapcsoló, így a valós támadások sokkal nehezebben lassíthatók.

 

Frissítés és többrétegű védelem

A WannaCry-botrány óta a legtöbb helyen már frissítették a rendszereket. Akik még nem tették meg, azok számára a potenciálisan még veszedelmesebb kártevő megjelenése sürgetőleg hat. Mivel az EternalRocks szintén a WannaCry által alkalmazott eszközöket alkalmazza, a felhasználóknak és rendszergazdáknak egyaránt érdemes mielőbb frissíteniük a rendszereiket, még mielőtt az EternalRocksot valaki kártékony tulajdonságokkal vértezi fel.

 

Sok vállalatnál nehézséget okoz a rendszerek azonnali frissítése, ezért célszerű igénybe venni a Trend Micro termékekben elérhető virtuális javítást, amely képes védelmet nyújtani a végpontok számára a nem kezelt réseket kihasználó fenyegetések ellen is. Továbbá célszerű többrétegű védelmi rendszereket bevezetni, amelyek újgenerációs megoldásokat alkalmazva hatékonyan veszik fel a harcot a hasonló kártevők ellen. Ilyen technológiák például a gépi tanulás, viselkedés alapú analízis vagy éppen a
sandbox
környezetben történő elemzés. Az említett sebezhetőségeket kihasználó kártevők jelenléte arra is rávilágított, hogy a belső hálózati forgalom védelme nem kap elég figyelmet. A vállatok és szervezetek többsége hálózati védelmen sajnos elsősorban a határvédelmet érti, és a belső mozgásokat nem képes hatékonyan észlelni és megállítani
” – foglalta össze Gömbös Attila, a Trend Micro rendszermérnöke.

 


Warning: Unknown: open(/var/cpanel/php/sessions/ea-php54/sess_lno2tue6d9kq1eq2i87nckkq12, O_RDWR) failed: No space left on device (28) in Unknown on line 0

Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/cpanel/php/sessions/ea-php54) in Unknown on line 0