Archivos de etiquetas: EternalRocks

Malware EternalRocks: utiliza más herramientas filtradas que WannaCry

Este lunes dio a conocer un nuevo malware relacionado con la filtración de herramientas utilizadas por la NSA (2 de ellas utilizadas por WannaCry), se trata de EternalRocks. Éste se replica utilizando 4 exploits desclasificados: EternalBlue, EternalRomance, EternalChampion y EternalSynergy; además de 3 herramientas: DoubePulsar, ArchiTouch y SMBTouch.

La primera etapa de este malware, UpdateInstaller.exe, descarga los componentes .NET necesarios para etapas posteriores TaskScheduler y SharpZLib desde internet, mientras baja a svchost.exe y taskhost.exe. 

El componente svchost.exe es utilizado para descargar, desempaquetar y ejecutar Tor desde archive.torproject.org junto con C&C (ubgdgno5eswkhmpy.onion) par solicitar mayores instrucciones como la instalación de componentes adicionales.

En su segunda etapa, otro taskhost.exe se descarga después de 24 horas también desde ubgdgno5eswkhmpy.onion y luego se ejecuta. Entonces baja el pack de exploit shadowbrokers.zipy descomprime los directorios payloads/, configs/ y bins/. Luego realiza un scan aleatorio a los puertos SMB (445) en Internet mientras ejecuta los exploits contenidos en bins/ y transmite la primera etapa mediante cargas del directorio payloads/. Además espera al proceso Tor por instrucciones adicionales de C&C.

Recomendación:

  • Instalación del parche MS17-010 para sistemas Windows, ya que en éste se encuentran remediadas las vulnerabilidades de propagación via SMB.
  • Evitar en lo posible la habilitación del protocolo SMBv1.
  • Bloquear en firewall el dominio <<ubgdgno5eswkhmpy.onion>>

PoC y muestras disponibles en la fuente original de esta información: https://github.com/stamparm/EternalRocks/

Este malware está cubierto por soluciones Sophos.