「世界末日」級蠕蟲永恆之石 利用7個NSA漏洞

如果NSA被泄黑客工具有「戰神金剛」這樣的存在，那必須得是「永恆之石(EternalRocks)」。永恆之藍才用了倆個漏洞。

5月21日，研究人員證實，名為「永恆之石」的新惡意軟體採用了7個在今年4月被影子經紀人黑客團伙放出由NSA開發的漏洞利用。專家將該惡意軟體描述為可突然襲擊的「世界末日」級蠕蟲。

本月初，WannaCry勒索軟體在全球各大學校、醫院和政府機關肆虐，席捲了超30萬台電腦。這款勒索軟體採用了2個NSA被泄漏洞利用——永恆之藍和雙脈衝星。幾天後，研究人員發現了Adylkuzz——採用相同漏洞利用並創建殭屍網路以挖掘加密貨幣的新惡意軟體。

如今，「永恆之石」出現。米洛斯拉夫·斯塔姆帕，克羅埃西亞計算機應急響應小組的一名網路安全專家，在5月17號的時候，首先發現了該黑客工具大雜燴。對「永恆之石」最早的發現，可以追溯到5月3號，他在GitHub上寫的一篇描述文章( )。

「永恆之石」利用了永恆之藍(EternalBlue)、雙脈衝星(DoublePulsar)、永恆鬥士(EternalChampion)、永恆之愛(EternalRomance)、永遠協同(EternalSynergy)、觸摸架構(ArchiTouch)和觸摸SMB(SMBTouch)等安全漏洞，而這些全都是影子經紀人泄露的NSA漏洞利用。斯塔姆帕稱，他是在自己的蜜罐系統被感染后發現的這窩黑客工具。

這堆工具中的大多數，利用的都是PC常用標準文件共享技術Windows伺服器消息塊(SMB)中的漏洞，也就是WannaCry得以隱秘快速傳播的途徑。微軟在3月份發布了這些漏洞的補丁，但很多過時的老舊電腦依然有中招風險。

與警告用戶「您已被勒索軟體綁架」的WannaCry不同，「永恆之石」在計算機上保持安靜低調不顯山露水。

一旦進入系統，它會下載Tor的私有瀏覽器，發送信號到其隱藏伺服器。然後，進入等待狀態。24小時內沒有任何動作。但之後，伺服器便會響應，開始下載和自我複製動作。這意味著，想要獲取更多信息進行研究的安全專家們，至少要多耗費一天時間。

安全公司Plixer首席執行官邁克爾·帕特森說：「通過延遲通信，惡人試圖更為隱秘。檢測並阻止所有惡意軟體的競賽多年前已經輸了。」

斯塔姆帕稱，「永恆之石」甚至自命名為WannaCry來試圖在安全研究人員面前隱身。與WannaCry變種類似，「永恆之石」同樣去掉了「斷路開關」，因而難以簡單封鎖。

目前為止，「永恆之石」依然靜靜地傳播和感染更多計算機中。斯塔姆帕警告：該蠕蟲可於任何時候被武器化，就像WannaCry勒索軟體在成功感染成千上萬台電腦後突然鎖定電腦一樣。

有鑒於其隱秘本質，有多少台電腦已經被「永恆之石」感染尚未可知。它會被武器化成什麼樣子也還不明朗。Plixer稱，該蠕蟲有可能馬上被轉化為針對銀行業的勒索軟體或木馬攻擊。

NSA因對這些漏洞利用留中不發而廣受詬病。17號，國會引入了一項法案，可能會迫使政府將其網路武器庫移交給獨立審查委員會。

NSA沒有就評論請求做出立即答覆。