一波未平一波又起,最近一直處于動蕩之中的網(wǎng)絡(luò)安全行業(yè)再次繃緊神經(jīng),勒索病毒W(wǎng)annaCry余波還未消散,一款名為EternalRocks(永恒之石)的新病毒再度來襲,據(jù)了解該病毒同時使用了7個來自NSA的漏洞。據(jù)金山安全大數(shù)據(jù)中心監(jiān)測數(shù)據(jù)顯示:截止5月25日11時,中國已有6省市存在與“永恒之石”蠕蟲病毒相關(guān)的惡意軟件及其變種。

發(fā)出27個惡意軟件搜捕令

目前已經(jīng)發(fā)現(xiàn)并公開的共有27個惡意軟件及其變種,具有使用或疑似使用上述7個漏洞工具、掃描工具及后門工具展開攻擊的可能性。金山安全借助安全大數(shù)據(jù)分析能力和廣泛的客戶端安裝數(shù)量,在全球安全廠商中首次向使用或疑似使用相關(guān)漏洞的27個惡意軟件發(fā)出了全網(wǎng)搜捕。

經(jīng)金山安全大數(shù)據(jù)中心專家對相關(guān)樣本是否在中國有分布、分布在哪些區(qū)域進行了嚴密的大數(shù)據(jù)分析與判定。截止5月25日11時,中國已有江蘇、浙江、廣東、廣西、陜西、臺灣等六省市存在與“永恒之石”蠕蟲病毒相關(guān)的惡意軟件及其變種,其中MD5值分別為198f27f5ab972bfd99e89802e40d6ba7、3771b97552810a0ed107730b718f6fe1、5f714b563aafef8574f6825ad9b5a0bf、994bd0b23cce98b86e58218b9032ffab的四種惡意軟件,在中國區(qū)域的終端上有批量或個別的存在與潛伏。

據(jù)金山安全的專家分析,“永恒之石”攻擊過程分為兩個階段,第一階段是潛伏期(目前潛伏時間為24小時),主要工作是準備運行環(huán)境和與暗網(wǎng)中的C&C服務(wù)器通信,接收下一步指令,接收到服務(wù)端的回應(yīng)之后進入第二階段。第二階段主要是下載NSA泄露的工具,接著利用這些工具進行滲透攻擊,感染其它主機。

受EternalRocks蠕蟲病毒侵害后的主機會加入到僵尸網(wǎng)絡(luò)中,接收來自位于暗網(wǎng)中的C&C服務(wù)器的指令,由于感染后的機器還會安裝NSA武器庫中的DoublePulsar后門,所以其它攻擊者也可以利用這個后門安裝其它惡意軟件。

EternalRocks主要通過已公開的4個SMB漏洞利用工具(ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE和ETERNALSYNERGY)、1個后門工具(DOUBLEPULSAR)和2個漏洞掃描工具(ARCHITOUCH和SMBTOUCH)來實現(xiàn)一系列滲透攻擊。

完全不必緊張但也不能心存僥幸

金山安全專家早已針對Windows SMB文件共享協(xié)議中的漏洞防御形成了安全解決方案。并對未知的惡意軟件也形成了有效的防御方案。金山安全的網(wǎng)絡(luò)安全事業(yè)部副總經(jīng)理李元說:“兵來將擋,水來土掩。使用金山安全產(chǎn)品的用戶完全可以不用緊張。”

這次的“永恒之藍”和“永恒之石”會使網(wǎng)絡(luò)病毒安全防范進入一個新常態(tài),“網(wǎng)關(guān)防護+高危漏洞識別+終端安全防護”將成為主要防御手段。金山安全已基本收集到全部相關(guān)樣本并第一時間加入到了云庫,安裝VGM防毒墻或V8+的用戶只需及時更新就可有效防范和查殺此類威脅。金山安全的專家同時說:其他企業(yè)或個人用戶都不該心存僥幸,建議盡快安裝MS17-010系統(tǒng)補丁,從而避免被通過網(wǎng)絡(luò)的方式感染此類病毒。

目前,金山安全大數(shù)據(jù)中心仍然在嚴密監(jiān)控與“永恒之石”相關(guān)聯(lián)的惡意軟件的所有新生樣本及相關(guān)樣本的擴散路徑。關(guān)于“永恒之石”蠕蟲病毒在中國的區(qū)域分布、感染量等關(guān)鍵數(shù)據(jù),金山安全將在分析后的第一時間,向國家網(wǎng)信辦、國家計算機病毒應(yīng)急處理中心等機構(gòu)報告;此外,金山安全愿意與所有從事網(wǎng)關(guān)防御、終端檢測防御的網(wǎng)絡(luò)安全友商協(xié)同動作,共同推動“永恒之石”蠕蟲病毒在全中國的快速防御。

網(wǎng)絡(luò)安全再遇威脅 新病毒“永恒之石”已出現(xiàn)在中國6省

圖文簡介