Nový malvér EternalRocks na rozdiel od ransomvéru WannaCry nepoužíva len dva uniknuté nástroje Národnej bezpečnostnej agentúry (NSA) EternalBlue a DoublePulsar. Využíva ďalších päť: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch a SMBTouch. Šíri sa zneužívaním chýb v protokole SMB pre zdieľanie súborov v OS Windows.
Nový kmeň malvéru
funguje dvojfázovo. Najprv stiahne TOR klienta, ktorého použije ako komunikačný
kanál a odošle na Command & Control server. Z toho prekvapivo nepríde odpoveď
hneď, ale až o 24 hodín, čo je zrejme kvôli tomu, aby oklamal sandbox a
bezpečnostnú analýzu. Odpoveď príde vo forme hlavného komponentu taskhost.exe, ktorý
vygeneruje zazipovaný súbor shadowbroker.zip s nástrojmi NSA. Po rozbalení súboru
začne EternalRocks skenovať internet a hľadať systémy s otvoreným portom
445, ktorý slúži ako brána pre sieťového červa. Niektoré zraniteľnosti,
zneužité EternalRocks, vyriešila marcová aktualizácia Microsoftu MS17-010.
Na rozdiel od WannaCry nepôsobí
EternalRocks na prvý pohľad tak nebezpečne, pretože nemá žiadny škodlivý dopad
– nežiada výkupné ani nezamyká súbory. Skrýva však nebezpečný potenciál, akonáhle
by malvér niekto využil a urobil z neho zbraň. EternalRocks navyše nemá
zabudovaný „kill switch“, vďaka ktorému by ho bolo možné jednoducho vypnúť. Vzhľadom
na to, že využíva rovnaké exploity ako WannaCry, mali by používatelia a administrátori
sietí svoje systémy bezprostredne aktualizovať a zabezpečiť. V prípade oboch hrozieb
sa oplatí myslieť na to, že prevencia je jednoduchšia ako odstraňovanie následkov
prehraného boja s malvérom.
