html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Разработчик SMB-червя EternalRocks испугался внимания и свернул все операции

В конце прошлой недели хорватский ИБ-специалист Мирослав Стампар (Miroslav Stampar) поймал в одном из своих ханипотов SMB-червя, который получил имя EternalRocks. Равно как и шифровальщик WannaCry, новая угроза эксплуатирует уязвимость в протоколе SMB, но использует для атак сразу семь инструментов АНБ, а не два, как нашумевший вымогатель. Так, для проникновения в уязвимые системы червь задействует ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, ETERNALSYNERGY и DOUBLEPULSAR, а также применяет эксплоиты SMBTOUCH и ARCHITOUCH, которым АНБ пользовалось во время разведывательных операций.

Изучив червя, Стампар выяснил, что пока EternalRocks не распространяет какую-либо малварь и действует более скрытно, чем WannaCry. Так, вредонос имеет две фазы заражения, отложенный старт, а также использует Tor  для связи с управляющими серверами в даркнете. Более того, у EternalRocks нет никаких механизмов «аварийного отключения», нет никакого «рубильника», который можно было бы задействовать, как это произошло с WannaCry.

Благодаря стараниям Стампара, о EternalRocks не только написали многие СМИ, но угрозой также заинтересовались другие эксперты. И, похоже, что такое положение вещей пришлось не по вкусу разработчику червя, известному под псевдонимом tmc.

В минувшую среду, 24 мая 2017 года, Стампар заметил, что на главной странице управляющего сервера EternalRocks, расположенного в даркнете, появилось странное сообщение, гласившее: «Внутри есть форум! Регистрация открыта! Зачем так бояться, я только закрываю за вас SMB-порты. Это не шифровальщик».

Tmc действительно открыл регистрацию и тщательно проверял каждый новый аккаунт вручную, одобряя или не одобряя создание новых учетных записей. Те, кому удалось попасть внутрь, могли ознакомиться еще с двумя сообщениями, написанными tcm:

«Это не шифровальщик, это не опасно, [EternalRocks] просто закрывает SMB-порты и двигается дальше. Я просто хотел проиграться, учитывая, что у меня есть посетители, но новости о вооруженном пейлоадами черве судного дня eternal rocks — это слишком. Нужно о многом подумать… ps: эксплоиты АНБ были забавные, спасибо, shadowbrokers!».

«Кстати, все, что я сделал — использовал инструменты АНБ для того, для чего их создали. Я разбирался в том, как они работают, и не успел опомниться, как уже получил доступ, и что делать дальше, я такой эээ, буду закрывать порты, спасибо за игру, хорошего дня».

После появления этих сообщений Мирослав Стампар подтвердил, что поведение EternalRocks изменилось. Теперь червь загружает с удаленного сервера пустышку, вместо исполняемых файлов. Без файла shadowbrokers.zip он не может продолжать распространяться далее, заражая другие хосты. Конечно, машины, зараженные EternalRocks ранее, продолжат сканировать сеть в поисках новых жертв, но в конечном итоге распространение червя начнет снижаться и прекратится вовсе. В своем твиттере Стампар шутит, что tmc ошибся ханипотом и теперь «дело закрыто».

Dear "tmc", you came to a wrong honeypot :). Case closed #EternalRocks

— Miroslav Stampar (@stamparm) May 25, 2017

«Похоже, я поймал автора червя еще во время фазы тестирования, хотя у него огромный потенциал. Судя по реконструкции предыдущих версий, в теории информации о нем [tmc] должно хватить, чтобы кто-нибудь в правоохранительных органах сумел сложить два и два. В любом случае, я думаю, он испугался шумихи и бросил все, прежде, чем его обвинят в том, чего он даже не совершал», — говорит Стампар.

Фото: Depositphotos

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

2

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции