हाल ही में खोजे गए कृमि EternalRocks में कोई किल स्विच नहीं है और यह अत्यधिक संक्रामक है। यह NSA के लीक हुए टूल्स का फायदा उठाता है और इसे रैनसमवेयर, बैंकिंग ट्रोजन या RATs के साथ तेजी से हथियार बनाया जा सकता है।
WannaCry द्वारा पिछले 10 दिनों में दुनिया भर में कहर बरपाने वाले रैनसमवेयर हमलों के बाद, सुरक्षा शोधकर्ता मिरोस्लाव स्टैम्पर द्वारा मैलवेयर "EternalRocks" के एक नए प्रकार की पहचान की गई है। इसकी खोज उन्होंने बुधवार को अपने विंडोज 7 हनीपोट के एक नमूने से की, जब यह संक्रमित था।
इसका मूल नाम "MicroBotMassiveNet" है और Stampar ने इसे "DoomsDayWorm" नाम दिया है। EternalRocks को टास्कहोस्ट गुणों के तहत एक उत्पाद नाम के रूप में सूचीबद्ध किया गया है।
EternalRocks लीक में सभी SMB कारनामों का उपयोग करके फैलता है, जिसमें EternalBlue भी शामिल है, जिसका उपयोग WannaCry द्वारा हमलों में किया जाता है। EternalRocks न केवल EternalBlue का उपयोग करता है, बल्कि यह EternalChampion, EternalRomance, और EternalSynergy के साथ-साथ ArchiTouch, SMBTouch, और DoublePulsar कर्नेल एक्सप्लॉइट का भी उपयोग करता है।
EternalRocks स्व-प्रतिकृति मैलवेयर है, इसमें कहीं अधिक खतरे शामिल हैं और WannaCry की तुलना में अधिक जघन्य है। यह कई एसएमबी (सर्वर मैसेज ब्लॉक) कमजोरियों के माध्यम से फैलता है और विंडोज के माध्यम से एक कंप्यूटर से दूसरे कंप्यूटर तक खुद को फैलाने के लिए एनएसए टूल का उपयोग करता है जिसे एटर्नलब्लू के रूप में जाना जाता है।
EternalRocks के बारे में कुछ महत्वपूर्ण बातें जो आपको पता होनी चाहिए:
- अपने मौजूदा स्वरूप में, 'EternalRocks' फ़ाइलों को लॉक या दूषित नहीं करता है या बॉटनेट बनाने के लिए संक्रमित मशीनों का उपयोग नहीं करता है। हालांकि, यह संक्रमित कंप्यूटरों को दूरस्थ आदेशों के प्रति संवेदनशील बनाता है जो किसी भी समय संक्रमण को 'हथियार' बना सकते हैं।
- 'इटरनलरॉक्स' वानाक्राई से ज्यादा मजबूत है क्योंकि इसमें कोई खामी और कोई किल स्विच नहीं है। इन खामियों ने WannaCry रैंसमवेयर को धीमा और धोखा दिया।
- 'EternalRocks कंप्यूटर को संक्रमित करने के 24 घंटे बाद तक कुछ नहीं करता है, इस प्रकार इसका पता लगाना कठिन हो जाता है। यह 24 घंटे की अवधि में 2 चरणों में फैलता है। ओल>
- सभी एसएमबी कमजोरियों को ठीक करें
- C&C सर्वरों तक पहुंच को अवरुद्ध करें और Torproject.org तक पहुंच को अवरुद्ध करें
- किसी नए जोड़े गए निर्धारित कार्यों की निगरानी करें
- अपना विंडोज़ ओएस अपडेट करें
- अपना एंटी-वायरस इंस्टॉल और अपडेट करें
- संदिग्ध लिंक और आपके सिस्टम के बीच अवरोध बनाए रखने के लिए सिस्टम फ़ायरवॉल को स्थापित या सक्रिय करें
- स्पष्ट सेटिंग्स और सरल पासवर्ड से बचने का प्रयास करें। अक्षरों और संख्याओं के संयोजन का उपयोग करने का प्रयास करें। अपरकेस और लोअरकेस अक्षरों का संयोजन भी एक सुरक्षित तरीका है।
हनीपोट क्या है?
A शहद का बर्तन सूचना प्रणाली के अनधिकृत उपयोग का प्रयास करने वाले हैकर्स को आकर्षित करने, उनका पता लगाने और उनका ध्यान हटाने के लिए जाल के रूप में कार्य करने के लिए स्थापित एक कंप्यूटर सुरक्षा तंत्र है। यह जानबूझकर उलझाने और साइबर हमलावरों को धोखा देकर इंटरनेट पर की जाने वाली दुर्भावनापूर्ण गतिविधियों की पहचान करता है।
कैसे इटरनलरॉक्स से भिन्न है वानाक्राई?
हालांकि EternalRocks विंडोज-सक्षम सिस्टम को संक्रमित करने के लिए एक ही मार्ग और कमजोरी का उपयोग करता है, इसे अधिक खतरनाक कहा जाता है, क्योंकि माना जाता है कि यह WannaCry की तुलना में सभी सात हैकिंग टूल का उपयोग करता है, जो NSA से लीक हुए थे। पी>
WannaCry मैलवेयर, सिर्फ दो एनएसए उपकरणों के साथ, दुनिया भर में 150 देशों और 2,40,000 से अधिक मशीनों को प्रभावित करके आपदा का कारण बना। इसलिए हम कल्पना कर सकते हैं कि EternalRocks क्या कर सकता है क्योंकि यह सात NSA उपकरणों का उपयोग करता है।
“DoomsDayWorm” की अनूठी विशेषता यह है कि यह कमांड और कंट्रोल सर्वर से अतिरिक्त मैलवेयर डाउनलोड करने के लिए पिछले दरवाजे का उपयोग करने से पहले चौबीस घंटे की अवधि के लिए चुपचाप प्रतीक्षा करता है। WannaCry रैंसमवेयर के विपरीत, जिसका प्रसार एक सुरक्षा ब्लॉगर द्वारा खोजे गए किलस्विच के कारण रुका हुआ था।
पहले चरण के दौरान, EternalRocks TOR को C&C (कमांड-एंड-कंट्रोल) संचार चैनल के रूप में स्थापित करता है। दूसरा चरण 24 घंटे बीत जाने के बाद शुरू होता है जब C&C सर्वर शैडोब्रोकर्स.ज़िप के साथ प्रतिक्रिया करता है। इसके बाद यह फ़ाइल को अनपैक करता है और इंटरनेट के खुले 445 SMB पोर्ट के लिए रैंडम स्कैन शुरू करता है।
TOR क्या है?
सॉफ़्टवेयर जो अनदेखी आँखों को बंद कर देता है क्योंकि वे हर जगह हैं पी>
TOR एक सॉफ्टवेयर है जो उपयोगकर्ताओं को गुमनाम रूप से वेब ब्राउज़ करने की अनुमति देता है। टीओआर को मूल रूप से द ओनियन राउटर कहा जाता था, क्योंकि यह उपयोगकर्ता गतिविधि के बारे में जानकारी छिपाने के लिए उपयोग की जाने वाली प्याज रूटिंग नामक तकनीक का उपयोग करता है। टीओआर पहचान और रूटिंग को अलग करके इंटरनेट गतिविधि को ट्रैक करना अधिक कठिन बना देता है, यह आईपी पते सहित डेटा को एन्क्रिप्ट करता है।
C&C (कमांड-एंड-कंट्रोल) संचार चैनल क्या है? पी>
कमांड और कंट्रोल सर्वर जिन्हें C&C सर्वर या C2 भी कहा जाता है, हमलावरों द्वारा लक्षित नेटवर्क के भीतर समझौता किए गए सिस्टम के साथ संचार बनाए रखने के लिए उपयोग किए जाने वाले कंप्यूटर हैं।
EternalRocks द्वारा उपयोग किए जाने वाले शैडोब्रोकर्स द्वारा लीक किए गए सात NSA टूल: पी>
EternalBlue — SMB1 और SMB2 शोषण का उपयोग नेटवर्क पर प्राप्त करने के लिए किया जाता है
EternalRomance — एक दूरस्थ SMB1 नेटवर्क फ़ाइल सर्वर Windows XP, Server 2003, Vista, Windows 7, Windows 8, Server 2008, और Server 2008 R2 को लक्ष्य बनाकर शोषण करता है
EternalChampion — SMBv2 एक्सप्लॉयट टूल
EternalSynergy — SMB3 के विरुद्ध एक रिमोट कोड निष्पादन शोषण है जो संभावित रूप से ऑपरेटिंग सिस्टम के विरुद्ध काम करता है।
उपर्युक्त 4 उपकरण कमजोर विंडोज कंप्यूटरों से समझौता करने के लिए डिज़ाइन किए गए हैं।
एसएमबीटच — एसएमबी टोही टूल
ArchTouch — SMB टोही टूल
सार्वजनिक नेटवर्क पर खुले SMB पोर्ट को स्कैन करने के लिए उपरोक्त 2 टूल का उपयोग किया जाता है।
DoublePulsar — रैंसमवेयर को इंस्टॉल करने के लिए इस्तेमाल किया जाता है
एक ही नेटवर्क पर एक कंप्यूटर से दूसरे कंप्यूटर में वर्म को फैलाने में मदद करता है।
WannaCry रैंसमवेयर एकमात्र मैलवेयर नहीं है जो EternalBlue या पिछले दरवाजे, DoublePulsar शोषण का उपयोग करता है। ए Adylkuzz के नाम से जाना जाने वाला क्रिप्टोक्यूरेंसी माइनर संक्रमित मशीनों पर आभासी मुद्राओं का खनन कर रहा है। इसी तरह के हमले वेक्टर के माध्यम से फैलने वाले अन्य मैलवेयर को UIWIX के रूप में जाना जाता है। पी>
अच्छा भाग पी>
EternalRocks को हथियार बनाने की कोई रिपोर्ट नहीं है। कोई दुर्भावनापूर्ण पेलोड नहीं - रैंसमवेयर की तरह सूचित किया जाता है।
खराब हिस्सा पी>
जैसे ही प्रभाव SMB पैच बाद में लागू होते हैं, EternalRocks कृमि द्वारा संक्रमित मशीनों को DOUBLEPULSAR NSA टूल के माध्यम से दूरस्थ रूप से एक्सेस किया जा सकता है। EternalRocks द्वारा छोड़ा गया बैकडोर ट्रोजन DOUBLEPULSAR इंस्टॉलेशन हमेशा हैकर्स के लिए दरवाजा खुला रखता है।
ऐसे हमलों से सुरक्षित रहने के लिए क्या करें?
सार्वजनिक इंटरनेट पर एसएमबी पोर्ट के लिए बाहरी एक्सेस ब्लॉक करें
<उल शैली ="पाठ-संरेखण:औचित्य;">Windows के पायरेटेड संस्करण का उपयोग न करें, यदि आपके पास कोई है तो आपका सिस्टम संक्रमण के प्रति अधिक संवेदनशील है। विंडोज ओएस के वास्तविक संस्करण को स्थापित करना और उसका उपयोग करना सबसे अच्छा है।