Otkriveni računalni crv prvi je put primijećen prošloga tjedna u srijedu, nakon što je detektiran u SMB honeypot sustavu Miroslava Štampara, člana CERT tima Zavoda za sigurnost informacijskih sustava - ZSIS.
Za razliku od WannaCry, ovaj računalni crv nema implementiranu značajku "kill-switch". Trenutno nema mnogo zabilježenih uređaja zaraženih "EternalRocks" računalnim crvom, no ova se situacija može ubrzo promijeniti. "EternalRocks" koristi MS17-010 ranjivost za inicijalnu infekciju te preuzima Tor klijent za daljnju komunikaciju s upravljačim poslužiteljem (C&C) lociranom na .onion domeni, tzv. "Dark Web" šifriranoj mreži. Kada uspostavi vezu s C&C-om, računalni crv započinje s drugom fazom infekcije gdje preuzima drugu komponentu u obliku arhive naziva "shadowbrokers.zip". Trenutno nije poznata osnovna svrha i sadržaj (payload) koji ostavlja na zaraženom računalu pa se pretpostavlja kako je ovo samo priprema za pokretanje budućih zlonamjernih aktivnosti. Također koristi iste nazive datoteka kao i WannaCry s očitom namjerom prikrivanja od njegove detekcije.
Indikatori kompromitacije (IoCs) te više detalja o procesu infekcije dostupni su na GitHub repozitoriju Miroslava Štampara.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.