The เวิร์มที่เพิ่งค้นพบ EternalRocks ไม่มีสวิตช์ฆ่าและแพร่เชื้อได้สูง มันใช้ประโยชน์จากเครื่องมือที่รั่วไหลของ NSA และสามารถติดอาวุธด้วยแรนซัมแวร์ โทรจันธนาคาร หรือ RAT ได้อย่างรวดเร็ว
หลังจากการโจมตีของแรนซัมแวร์ที่สร้างความเสียหายไปทั่วโลกในช่วง 10 วันที่ผ่านมาโดย WannaCry มัลแวร์สายพันธุ์ใหม่ “EternalRocks” ได้รับการระบุโดยนักวิจัยด้านความปลอดภัย Miroslav Stampar มันถูกค้นพบโดยเขาเมื่อวันพุธจากตัวอย่างในhoneypot Windows 7 ของเขาเมื่อมันติดไวรัส
ชื่อเดิมของมันคือ “MicroBotMassiveNet” และ Stampar ตั้งชื่อมันว่า “DoomsDayWorm” EternalRocks แสดงเป็นชื่อผลิตภัณฑ์ภายใต้คุณสมบัติของ Taskhost
EternalRocks แพร่กระจายโดยใช้ช่องโหว่ SMB ทั้งหมดในการรั่วไหล รวมถึง EternalBlue ที่ WannaCry ใช้ในการโจมตี EternalRocks ไม่เพียงแต่ใช้ EternalBlue เท่านั้น แต่ยังใช้ EternalChampion, EternalRomance และ EternalSynergy ตลอดจน ArchiTouch, SMBTouch และการหาประโยชน์จากเคอร์เนล DoublePulsar
EternalRocks เป็นมัลแวร์ที่จำลองตัวเองได้ มีภัยคุกคามมากมายและชั่วร้ายกว่า WannaCry มันแพร่กระจายผ่านช่องโหว่ SMB (Server Message Block) หลายช่องโหว่ และใช้เครื่องมือ NSA ที่รู้จักกันในชื่อ EtnernalBlue เพื่อแพร่กระจายตัวเองจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งผ่าน Windows
สิ่งสำคัญบางประการที่ควรรู้เกี่ยวกับ EternalRocks:
- ในรูปแบบปัจจุบัน "EternalRocks" จะไม่ล็อกหรือทำให้ไฟล์เสียหาย หรือใช้เครื่องที่ติดไวรัสเพื่อสร้างบอตเน็ต อย่างไรก็ตาม มันทำให้คอมพิวเตอร์ที่ติดไวรัสเสี่ยงต่อคำสั่งระยะไกล ซึ่งสามารถ 'โจมตี' การติดไวรัสได้ทุกเมื่อ
- 'EternalRocks' แข็งแกร่งกว่า WannaCry เนื่องจากไม่มีช่องโหว่และ kill switch ใด ๆ ช่องโหว่เหล่านี้ทำให้แรนซั่มแวร์ WannaCry ทำงานช้าและหลีกเลี่ยงไม่ได้
- 'EternalRocks จะไม่ทำอะไรเลยเป็นเวลา 24 ชั่วโมงหลังจากที่มันติดไวรัสในคอมพิวเตอร์ จึงทำให้ตรวจจับได้ยากขึ้น โดยจะกระจายออกเป็น 2 ช่วงในช่วง 24 ชั่วโมง
honeypot คืออะไร
หม้อน้ำผึ้ง เป็นกลไกการรักษาความปลอดภัยคอมพิวเตอร์ที่ตั้งขึ้นเพื่อทำหน้าที่เป็นกับดักในการดึงดูด ตรวจจับ และเบี่ยงเบนความสนใจของแฮ็กเกอร์ที่พยายามใช้ระบบข้อมูลโดยไม่ได้รับอนุญาต โดยจะระบุกิจกรรมที่เป็นอันตรายที่ดำเนินการบนอินเทอร์เน็ตโดยจงใจให้มีส่วนร่วมและหลอกลวงผู้โจมตีทางไซเบอร์
อย่างไร EternalRocks แตกต่างจาก อยากร้องไห้ไหม
แม้ว่า EternalRocks จะใช้เส้นทางและจุดอ่อนเดียวกันในการทำให้ระบบที่ใช้ Windows แพร่เชื้อ แต่ก็มีการกล่าวกันว่าอันตรายกว่ามาก เนื่องจากคาดว่าจะใช้เครื่องมือแฮ็กทั้งหมดเจ็ดตัวเมื่อเทียบกับ WannaCry ซึ่งรั่วไหลออกมาจาก NSA
มัลแวร์ WannaCry ที่มีเครื่องมือ NSA เพียง 2 ตัว ทำให้เกิดหายนะโดยส่งผลกระทบต่อ 150 ประเทศและมากกว่า 2,40,000 เครื่องทั่วโลก ดังนั้นเราจึงสามารถจินตนาการได้ว่า EternalRocks สามารถทำอะไรได้บ้างเมื่อใช้เครื่องมือ NSA เจ็ดเครื่องมือ
คุณลักษณะเฉพาะของ “DoomsDayWorm” คือมันจะรออย่างเงียบๆ เป็นเวลา 24 ชั่วโมง ก่อนที่จะใช้แบ็คดอร์เพื่อดาวน์โหลดมัลแวร์เพิ่มเติมจากเซิร์ฟเวอร์คำสั่งและเซิร์ฟเวอร์ควบคุม ซึ่งแตกต่างจากแรนซั่มแวร์ WannaCry ที่การแพร่กระจายถูกระงับเนื่องจาก killswitch ค้นพบโดยบล็อกเกอร์ความปลอดภัย
ในช่วงแรก EternalRocks ติดตั้ง TOR เป็นช่องทางการสื่อสาร C&C (Command-and-Control) ขั้นตอนที่สองเริ่มต้นหลังจากผ่านไป 24 ชั่วโมงเมื่อเซิร์ฟเวอร์ C&C ตอบกลับด้วย shadowbrokers.zip จากนั้นจะคลายไฟล์และเริ่มการสแกนแบบสุ่มสำหรับพอร์ต 445 SMB ที่เปิดอยู่ของอินเทอร์เน็ต
TOR คืออะไร
ซอฟต์แวร์ที่ปิดตาที่มองไม่เห็นเมื่อมีอยู่ทุกที่
TOR เป็นซอฟต์แวร์ที่ช่วยให้ผู้ใช้สามารถท่องเว็บโดยไม่เปิดเผยตัวตน เดิมที TOR เรียกว่า The Onion Router เนื่องจากใช้เทคนิคที่เรียกว่า onion routing เพื่อซ่อนข้อมูลเกี่ยวกับกิจกรรมของผู้ใช้ TOR ทำให้การติดตามกิจกรรมทางอินเทอร์เน็ตทำได้ยากขึ้นโดยแยกการระบุตัวตนและการกำหนดเส้นทาง โดยจะเข้ารหัสข้อมูล รวมถึงที่อยู่ IP
ช่องทางการสื่อสารของ C&C (Command-and-Control) คืออะไร
เซิร์ฟเวอร์สั่งการและควบคุมเรียกอีกอย่างว่าเซิร์ฟเวอร์ C&C หรือ C2 คือคอมพิวเตอร์ที่ผู้โจมตีใช้ในการสื่อสารกับระบบที่ถูกบุกรุกภายในเครือข่ายเป้าหมาย
เครื่องมือ NSA เจ็ดชิ้นรั่วไหลโดย ShadowBrokers ที่ EternalRocks ใช้:
EternalBlue — SMB1 และ SMB2 ใช้ประโยชน์จากเครือข่าย
EternalRomance — เซิร์ฟเวอร์ไฟล์เครือข่าย SMB1 ระยะไกลใช้ประโยชน์จากการกำหนดเป้าหมาย Windows XP, Server 2003, Vista, Windows 7, Windows 8, Server 2008 และ Server 2008 R2
EternalChampion — เครื่องมือใช้ประโยชน์จาก SMBv2
EternalSynergy — การใช้ประโยชน์จากการเรียกใช้โค้ดจากระยะไกลกับ SMB3 ที่อาจทำงานกับระบบปฏิบัติการ
เครื่องมือ 4 อย่างข้างต้นได้รับการออกแบบมาสำหรับการประนีประนอมกับคอมพิวเตอร์ Windows ที่มีช่องโหว่
SMBTouch — เครื่องมือลาดตระเวน SMB
ArchTouch — เครื่องมือลาดตระเวน SMB
เครื่องมือ 2 รายการข้างต้นใช้เพื่อสแกนหาพอร์ต SMB ที่เปิดอยู่บนเครือข่ายสาธารณะ
DoublePulsar — ใช้เพื่อติดตั้งแรนซัมแวร์
ช่วยในการแพร่กระจายเวิร์มจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งผ่านเครือข่ายเดียวกัน
WannaCry ransomware ไม่ใช่มัลแวร์ตัวเดียวที่ใช้ EternalBlue หรือ DoublePulsar โจมตีลับๆ ก นักขุด cryptocurrency ที่รู้จักกันในชื่อ Adylkuzz กำลังสร้างสกุลเงินเสมือนบนเครื่องที่ติดไวรัส มัลแวร์อีกตัวที่แพร่กระจายผ่านเวกเตอร์โจมตีที่คล้ายกันนี้เรียกว่า UIWIX.
ส่วนที่ดี
ไม่มีรายงานว่า EternalRocks ถูกสร้างเป็นอาวุธ ไม่มีรายงานเพย์โหลดที่เป็นอันตราย เช่น แรนซัมแวร์
ส่วนที่ไม่ดี
เนื่องจากเอฟเฟ็กต์แพตช์ SMB ถูกนำมาใช้ในภายหลัง เครื่องที่ติดไวรัส EternalRocks Worm จึงสามารถเข้าถึงได้จากระยะไกลผ่านเครื่องมือ DOUBLEPULSAR NSA การติดตั้งโทรจันประตูหลัง DOUBLEPULSAR ที่ EternalRocks ทิ้งไว้เบื้องหลังจะเปิดประตูให้แฮ็กเกอร์เสมอ
จะทำอย่างไรให้ปลอดภัยจากการโจมตีดังกล่าว
บล็อกการเข้าถึงพอร์ต SMB จากภายนอกบนอินเทอร์เน็ตสาธารณะ
- แก้ไขช่องโหว่ SMB ทั้งหมด
- บล็อกการเข้าถึงเซิร์ฟเวอร์ C&C และบล็อกการเข้าถึง Torproject.org
- ติดตามงานตามกำหนดเวลาที่เพิ่มเข้ามาใหม่
- อัปเดตระบบปฏิบัติการ Windows ของคุณ
- ติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสของคุณ
- ติดตั้งหรือเปิดใช้งานไฟร์วอลล์ของระบบเพื่อรักษาสิ่งกีดขวางระหว่างลิงก์ที่น่าสงสัยและระบบของคุณ
- พยายามหลีกเลี่ยงการตั้งค่าที่ชัดเจนและรหัสผ่านง่ายๆ ลองใช้ตัวอักษรและตัวเลขผสมกัน การใช้ตัวพิมพ์ใหญ่และตัวพิมพ์เล็กร่วมกันเป็นวิธีที่ปลอดภัยกว่า
อย่าใช้ Windows เวอร์ชันละเมิดลิขสิทธิ์ หากคุณมี Windows เวอร์ชันละเมิดลิขสิทธิ์ ระบบของคุณจะเสี่ยงต่อการติดไวรัส วิธีที่ดีที่สุดคือติดตั้งและใช้ Windows OS เวอร์ชันของแท้
