EternalRocks crv koristi 7 NSA alata

Istraživač Miroslav Stampar, iz CERT-a vlade Hrvatske, otkrio je novi virus koji koristi nazvan EternalRocks. Ovaj virus se ponaša kao crv i širi se kroz mrežu korišćenjem 7 alata koji su objavljeni od strane ShadowBrokers grupa.

ShadowBrokers grupa je objavila više alata koji su navodno ukradeni od NSA. Dva alata, pod nazivima DoublePulsar i EternalBlue, korišćeni su za širenje WannaCry ransomware-a.

Stampar je uhvatio virus na svom Windows 7 honeypot-u i detaljan izvještaj objavio na svom GitHub nalogu.

Stampar, inače autor poznatog sqlmap alata, navodi da se infekcija dešava u dva koraka. Prvi korak je infekcija računara eksploatacijom SMB ranjivosti otklonjene u ažuriranju MS17-010. Tokom prve faze virus preuzima alate potrebne za drugu fazu koji uključuju i biblioteku za komunikaciju preko Tor mreže.

Druga faza se pokreće 24 sata nakon prve, kada se sa ubgdgno5eswkhmpy[.]onion domena preuzimaju alati za eksploataciju SMB ranjivosti nakon čega virus pokreće skeniranje interneta u potrazi za otvorenim portom 445.

Ovaj virus trenutno nema payload, te u ovoj fazi nije opasan, međutim samo je pitanje vremena kada će biti upotrijebljen za maliciozne svrhe.

Izvor:threatpost.com

EternalRocks crv koristi 7 NSA alata

EternalRocks crv koristi 7 NSA alata

Leave a Reply Cancel reply

MITRE CVE Twitter feed

CERTRS Kontakt informacije

Vlada republike srpske

Akademska istraživačka mreža republike srpske