Informasjon om skadevaren EternalRocks

Publisert: 24.05.2017

Introduksjon

NorCERT ønsker å informere om skadevaren kjent som EternalRocks, også kjent som MicroBotMassiveNet. Denne ormen benytter seg av mange av de samme sårbarhetene som WannaCry, som ble lekket av av Shadow Brokers og som mange knytter til Equation Group.

Årsaken til at vi velger å varsle om denne ormen er at den installerer en bakdør, men vi kjenner ikke til formålet med denne bakdøren.

Vi vet ikke om aktøren er økonomisk motivert, eller om det er snakk om en mer avansert aktør.

Hvordan skadevaren fungerer

Skadevarens spres ved at infiserte maskiner leter tilfeldig på internett etter sårbare SMB tjenere på port 445.

Når en maskin er blitt infisert vil den først laste ned de legitime .NET komponentene TaskScheduler og SharpZLib.

Skadevaren vil deretter installere en komponent som brukes til å laste ned Tor og steg to av skadevaren, som kalles taskhost.exe.

Det er verdt å merke seg at steg to ikke vil bli lastet ned før etter 24 timer.

Denne venteperioden er trolig for å unngå analyseverktøy.

Nedlastingen av steg to skadevare, samt kommunikasjon med kommando -og kontrollserver, skjer over Tor.

Skadevaren vil til slutt forsøke å infisere andre maskiner mens den venter på instrukser fra kommando- og kontrollserver.

Vi kan for ordens skyld også nevne at denne ormen ikke har ett kill-switch domene som WannaCry hadde.

NorCERT er interessert i å bli informert om alle eventuelle funn relatert til denne hendelsen.

Indikatorer

C&C server
ubgdgno5eswkhmpy[.]onion

Legitime .NET komponenter som trengs
http://api.nuget.org/packages/taskscheduler.2.5.23.nupkg
http://api.nuget.org/packages/sharpziplib.0.86.0.nupkg # i nyere varianter

Tor klienten lastes ned fra archive.torproject.org

URI som steg to av skadevaren lastes fra http://ubgdgno5eswkhmpy[.]onion/updates/download?id=PC

Flere indikatorer ligger her:
https://github.com/stamparm/EternalRocks

Informasjon i media:
https://threatpost.com/eternalrocks-worm-spreads-seven-nsa-smb-exploits/125825/