لا تحتوي الدودة EternalRocks المكتشفة مؤخرًا على مفتاح إيقاف وهي شديدة العدوى. فهو يستغل أدوات وكالة الأمن القومي المسربة ويمكن تسليحه سريعًا باستخدام برامج الفدية أو أحصنة طروادة المصرفية أو RATs.
بعد مجموعة من هجمات برامج الفدية التي أحدثت دمارًا في جميع أنحاء العالم في الأيام العشرة الماضية بواسطة WannaCry، ظهرت سلالة جديدة من البرامج الضارة " تم التعرف على EternalRocks من قبل الباحث الأمني ميروسلاف ستامبا. وقد اكتشفه يوم الأربعاء من خلال عينة على جهاز Windows 7 الخاص به، عندما أصيب بالفيروس.
اسمه الأصلي هو "MicroBotMassiveNet" وأطلق عليه Stampar اسم "DoomsDayWorm". تم إدراج EternalRocks كاسم منتج ضمن خصائص Taskhost.
ينتشر EternalRocks باستخدام جميع عمليات استغلال الشركات الصغيرة والمتوسطة في التسريب، بما في ذلك EternalBlue، الذي يستخدمه WannaCry في الهجمات. لا يستخدم EternalRocks EternalBlue فحسب، بل يستخدم أيضًا EternalChampion وEternalRomance وEternalSynergy، بالإضافة إلى ArchiTouch وSMBTouch واستغلال نواة DoublePulsar.
EternalRocks عبارة عن برامج ضارة ذاتية النسخ، وتتضمن المزيد من التهديدات وهي أكثر بشاعة من WannaCry. وينتشر عبر العديد من ثغرات SMB (حظر رسائل الخادم) ويستخدم أداة NSA المعروفة باسم EtnernalBlue للانتشار من كمبيوتر إلى آخر عبر Windows.
راجع أيضًا: كيف تكون آمنًا من هجمات WannaCry وهجمات برامج الفدية الأخرى
بعض الأشياء المهمة التي يجب أن يعرفها المرء عن EternalRocks:
مصيدة الاحتيال هي آلية أمان كمبيوتر تم إعدادها لتكون بمثابة فخ لجذب وكشف وصد المتسللين الذين يحاولون الاستخدام غير المصرح به لأنظمة المعلومات. فهو يحدد الأنشطة الضارة التي يتم إجراؤها عبر الإنترنت عن طريق إشراك المهاجمين عبر الإنترنت وخداعهم عمدًا.
كيف يختلف EternalRocks عن WannaCry؟
بالرغم من أن EternalRo cks نفس المسار ونقطة الضعف لإصابة الأنظمة التي تعمل بنظام Windows، ويقال إنها أكثر خطورة بكثير، حيث من المفترض أنها تستخدم جميع أدوات القرصنة السبعة مقارنة بـ WannaCry، التي تم تسريبها من وكالة الأمن القومي.
تسببت البرامج الضارة WannaCry، باستخدام أداتين فقط من أدوات وكالة الأمن القومي، في حدوث كارثة من خلال التأثير على 150 دولة وأكثر من 240000 جهاز حول العالم. لذا يمكننا أن نتخيل ما يمكن أن يفعله EternalRocks لأنه يستخدم سبع أدوات تابعة لوكالة الأمن القومي.
الميزة الفريدة لـ "DoomsDayWorm" هي أنه ينتظر بصمت لمدة أربع وعشرين ساعة، قبل استخدام الباب الخلفي لتنزيل المزيد البرمجيات الخبيثة من خادم القيادة والسيطرة. على عكس برنامج الفدية WannaCry، الذي توقف انتشاره بسبب مفتاح الإيقاف الذي اكتشفه أحد مدوني الأمان.
خلال المرحلة الأولى، يقوم EternalRocks بتثبيت TOR كقناة اتصالات للتحكم والسيطرة (C&C). تبدأ المرحلة الثانية بعد مرور 24 ساعة عندما يستجيب خادم القيادة والتحكم باستخدام Shadowbrokers.zip. ثم يقوم بفك ضغط الملف ويبدأ فحصًا عشوائيًا لفتح 445 منفذ SMB للإنترنت.
ما هو TOR؟
برنامج يغلق العيون غير المرئية كما هي في كل مكان
TOR هو برنامج يسمح للمستخدمين بتصفح الويب بشكل مجهول. كان يُطلق على TOR في الأصل اسم The Onion Router، لأنه يستخدم تقنية تسمى Onion Router المستخدمة لإخفاء المعلومات حول نشاط المستخدم. يزيد برنامج TOR من صعوبة تتبع نشاط الإنترنت عن طريق فصل التعريف والتوجيه، كما أنه يقوم بتشفير البيانات، بما في ذلك عنوان IP.
ما هي قناة اتصالات القيادة والتحكم (القيادة والتحكم)؟
تُعرف خوادم القيادة والتحكم أيضًا بخوادم C&C أو C2، وهي أجهزة كمبيوتر يستخدمها المهاجمون للحفاظ على الاتصال مع الأنظمة المخترقة داخل الشبكة المستهدفة.
أدوات وكالة الأمن القومي السبعة تم تسريبه بواسطة ShadowBrokers الذي يستخدمه EternalRocks:
EternalBlue - استغلال SMB1 وSMB2 للوصول إلى الشبكة
EternalRomance - استغلال خادم ملفات شبكة SMB1 عن بعد والذي يستهدف Windows XP و Server 2003 و Vista و Windows 7 و Windows 8 و Server 2008 و Server 2008 R2
EternalChampion — أداة استغلال SMBv2
EternalSynergy — استغلال تنفيذ التعليمات البرمجية عن بعد ضد SMB3 الذي من المحتمل أن يعمل ضد أنظمة التشغيل.
تم تصميم الأدوات الأربع المذكورة أعلاه لاختراق أجهزة الكمبيوتر التي تعمل بنظام Windows الضعيفة.
SMBTouch - أداة استطلاع الشركات الصغيرة والمتوسطة
ArchTouch - أداة استطلاع الشركات الصغيرة والمتوسطة
يتم استخدام الأداتين المذكورتين أعلاه للمسح الضوئي لمنافذ SMB المفتوحة على الشبكة العامة.
DoublePulsar — يستخدم لتثبيت برنامج الفدية
يساعد في نشر الفيروس المتنقل من كمبيوتر إلى آخر عبر نفس الشبكة.
إن برنامج الفدية WannaCry ليس البرنامج الضار الوحيد الذي يستخدم EternalBlue أو الباب الخلفي الذي يستغله DoublePulsar. يقوم عامل تعدين العملات المشفرة المعروف باسم Adylkuzz بصك العملات الافتراضية على الأجهزة المصابة. هناك برنامج ضار آخر ينتشر عبر ناقل هجوم مماثل يُعرف باسم UIWIX.
الجزء الجيد
لا توجد تقارير عن EternalRocks أن يتم تسليحها. لم يتم الإبلاغ عن أي حمولة ضارة - مثل برامج الفدية.
الجزء السيئ
حيث يتم تطبيق تأثيرات تصحيحات الشركات الصغيرة والمتوسطة في وقت لاحق، فإن الأجهزة المصابة ببرنامج EternalRocks يمكن الوصول إلى الدودة عن بعد عبر أداة DOUBLEPULSAR NSA. إن تثبيت حصان طروادة DOUBLEPULSAR الخلفي الذي خلفته EternalRocks يبقي الباب مفتوحًا دائمًا أمام المتسللين.
ما الذي يجب فعله لتكون آمنًا من مثل هذه الهجمات؟
منع الوصول الخارجي إلى منافذ الشركات الصغيرة والمتوسطة العامة الإنترنت
- تصحيح جميع نقاط الضعف في الشركات الصغيرة والمتوسطة
- حظر الوصول إلى خوادم القيادة والسيطرة وحظر الوصول إلى Torproject.org
- مراقبة أي مهام مجدولة تمت إضافتها حديثًا
- تحديث نظام التشغيل Windows لديك
- تثبيت برنامج مكافحة الفيروسات لديك وتحديثه
- تثبيت جدار حماية النظام أو تنشيطه للحفاظ على حاجز بين الروابط المشبوهة ونظامك
- حاول تجنب الإعدادات الواضحة وكلمات المرور البسيطة. حاول استخدام مجموعة من الحروف الهجائية والأرقام. يعد الجمع بين الأحرف الكبيرة والصغيرة أيضًا أسلوبًا أكثر أمانًا.
لا تستخدم الإصدارات المقرصنة من Windows، إذا كان لديك أحد الإصدارات، فإن نظامك أكثر عرضة للإصابة. من الأفضل تثبيت واستخدام إصدار أصلي من نظام التشغيل Windows.
قراءة: 0
