martedì 23 maggio 2017

EternalRocks: nuovo worm che usa ben 7 tool dell'NSA per attaccare le macchine via porta SMB


I ricercatori hanno individuato un nuovo worm, che si diffonde tramite l'SMB (lo stesso protocollo, la cui vulnerabilità è stata usata per la diffusione di WannaCry). Al contrario però della componente worm di WannaCry, questo worm usa ben 7 (e non solo due) tool dell'NSA. L'esistenza del worm è stata rivelata dal CERT del Governo Croato dopo che il loro honeypot SMB è stato infettato. Il worm in questione si chiama EternaRocks.

EternalRocks usa 7 tool dell'NSA
Il worm usa ben 6 tool dell'NSA, progettati appositamente per infettare computer con la porta SMB esposta online. Questi sono: EternalBlue, EternalChampion, EternalRomance e EternalSynergy, che sono exploit SMB usati per compromettere i computer vulnerabili. SMBtouch e Archtouch sono due tool, sempre dell'NSA, usati per le operazioni di individuazione dell'SMB. Tutti questi tool fungono da strumenti che cercano un appiglio alla macchina: fatto ciò, il worm usa un altro tool NSA, DoublePulsar, utile a propagarsi in altre, nuove, macchine vulnerabili. 

EternalRock è più complesso del worm di WannaCry, ma (per ora) meno rischioso
Come worm è appunto meno pericoloso della componente worm di WannaCry perchè non distribuisce alcun contenuto dannoso. Questo non lo rende però inoffensivo.
In prima battuta, EternalRocks si muove "più silenziosamente" della componente worm di WannaCry: infetta in due stadi, con una seconda fase ritardata nel tempo. Nella prima fase, EternalRock ottiene l'accesso ad un host infetto, scarica il client Tor, segnala il proprio server C&C, situato in un dominio .onion nel Dark Web.

Solo dopo un certo periodo di tempo - attualmente 24 ore - il server C&C risponde. Il ruolo di questa dilazione nel tempo probabilmente è quella di riuscire a bypassare una eventuale sandbox o altri ambienti virtuali approntanti da ricercatori per analizzare le minacce circolanti. 

Non c'è nessun dominio interruttore
Oltre a questo, EternalRocks usa file i cui nomi sono assolutamente identici a quelli usati dal worm di WannaCry, probabilmente allo scopo di indurre in fallo i ricercatori con una falsa identificazione. Al contrario del worm di WannaCry però, EternalRock non ha un dominio interruttore, che poi è stato il tallone di Achille che ha permesso di bloccare la diffusione del ransomware.

L'origine del nome EternalRocks

La seconda fase
Nella seconda fase, EternalRocks scarica un componente malware contenuto in un archivio rinominato shadowbrokers.zip: all'interno ci sono i tool per l'SMB di cui abbiamo parlato sopra, rilasciati online dal gruppo hacker Shadow Brokers. Il worm inizia quindi una veloce scansione dell'IP e prova a connettersi ad un indirizzo IP random.

I file di configurazione dei tool trovati nell'archivio .zip. Fonte: Bleeping Computer
Un worm "armabile" in poco tempo.
L'assenza di un dominio interruttore e il periodo di dormienza rendono EternaRocks potenzialmente molto pericoloso per i computer con la porta SMB vulnerabile esposta online, sopratutto se l'autore di questo worm decidesse di "corazzare" il worm con altri strumenti offensivi come ransomware, trojan bancari o altro. Ad oggi infatti questo worm sembra più un esperimento, che una vera e propria arma. 

Sia chiaro però: il worm è già offensivo.

Nel senso che un computer infetto con EternalRocks è controllabile tramite comandi da server C&C e gli attaccanti potrebbero usare questo canale di comunicazione nascosto per diffondere malware. Oltre a ciò, Dublepulsar (tool dell'NSA con funzione di backdoor) rimane in esecuzione sul PC infetto: il che è pericoloso, perché chi ha inserito questo tool nel worm non si è preoccupato di "mettere in sicurezza" la backdoor. In sunto chiunque, non necessariamente l'attaccante originario, potrebbe usare la backdoor magari per diffondere un proprio malware. 

Un consiglio...
A giudicare dalla grande quantità di tool che stanno sfruttando le vulnerabilità del protocollo SMB, considerando che sono stati identificati svariati processi di verifica e ricerca di porte SMB vulnerabili esposte in Internet il consiglio è di applicare URGENTEMENTE le patch distribuite da Microsoft.

Nessun commento:

Posta un commento