EternalRocks nutzt zusätzliche Lücken aus dem ShadowBroker-Fundus

Originalartikel von Trend Micro

Vor Kurzem tauchte eine neue Schadsoftware namens EternalRocks auf, die nicht nur die zwei von der ShadowBrokers Hacking-Grupppe geleakten NSA-Exploits EternalBlue und DoublePulsar nutzt, die auch die berüchtigte WannaCry-Ransomware einsetzte. Die Malware setzt zusätzlich fünf weitere Exploits und Tools ein, die ebenfalls aus dem Fundus der ShadowBrokers stammen: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch und SMBTouch. Die meisten dieser Exploits zielen ebenfalls auf den MicrosoftServer Message Block (SMB), der das Zugangs-Sharing zwischen den Knoten eines Netzwerks verwaltet.

EternalRocks wurde von Miroslav Stampar, einem Cybersicherheitsfachmann des kroatischen Computer Emergency Response Team (CERT) entdeckt. Nachdem sie ihr Ziel infiziert hat, nutzt die Schadsoftware einen zweistufigen Installationsprozess. Während der ersten Stufe lädt der Schädling den TOR Client herunter, den er als Kommunikationskanal mit seinem C&C-Server einsetzt. Der C&C-Server sendet überraschenderweise nicht sofort eine Antwort, sondern erst nach 24 Stunden. Mutmaßlich ist der Grund für die späte Antwort der Versuch, Sandbox-Tests und Sicherheitsanalysen zu vermeiden. Sobald dann die Antwort ankommt, schickt er eine zip-Datei namens shadowbrokers.zip, die die NSA-Exploits enthält. EternalRocks entpackt sie und scannt dann das Internet nach Systemen mit offenen 445 Ports, die als Gateway für eine Wurm-Infektion dienen. Einige der Sicherheitslücken, die EternalRocks nutzt, sind mit dem MS17-010 Update-Release aus dem März bereits geschlossen worden.

Der Unterschied zwischen WannaCry und EternalRocks besteht darin, dass letztere Schadsoftware keine bösartige Payload hat. Doch die Fähigkeit, sich aufgrund der Wurm-Komponente schnell fortzupflanzen, bedeutet, dass Systeme, die mit EternalRocks infiziert sind, unerwünschte Nachwirkungen erleiden können, sollte sich die Malware verändern.

EternalRocks hat auch einen zusätzlichen Vorteil vor WannaCry, dessen Wirkung gemindert wurde durch den vorhandenen Kill Switch, der aktiviert wird, sobald eine bestimmte Domäne entdeckt wird. EternalRocks hat keinen solchen Kill Switch, und das bedeutet, dass ein Angriff viel schwieriger zu stoppen ist.

Fazit

Sollte der massive Angriff der letzten Woche noch nicht genügt haben, um Unternehmen aufzurütteln, sodass sie ihre System regelmäßig patchen, so sollte dies durch diese möglicherweise gefährlichere Ransomware geschehen sein. Aufgrund der Tatsache, dass EternalRocks dieselben Exploits nutzt wir WannaCry, müssen Systemadministratoren und Einzelanwender ihre Systeme sofort patchen, solang die Schadsoftware noch keine schädliche Payload beinhaltet.

Trend Micro-Lösungen

Trend Micro Deep Security™ und Vulnerability Protection liefern virtuelles Patching, das Endpunkte vor Bedrohungen schützt, die nicht gepatchte Sicherheitslücken ausnutzen. OfficeScan Schwachstellenschutz schirmt Endpunkte von bekannten und unbekannten Exploits ab, bevor die Patches aufgespielt wurden.

Trend Micro Deep Discovery Inspector liefert Funktionalität für die Erkennung, tiefgehende Analyse und proaktive Reaktionen auf Angriffe. Spezielle Engines, anpassbares Sandboxing und eine nahtlose Korrelation über den gesamten Angriffs-Lebenszyklus hinweg ermöglichen die Erkennung ähnlicher Bedrohungen auch ohne dass eine Engine oder die Pattern aktualisiert werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*