EternalRocks Computer Worm 관련 이슈

EternalRocks는 여러 SMB 취약성을 악용하는 Shadow Broker의 NSA 누수를 이용하는

악성코드 입니다.
오늘은 EternalRock Computer Worm에 대해 포스팅 하도록 하겠습니다.

 

EternalRocks는 WannaCry보다 먼저 출현하였으며, 최초의 출현 이후 여러 변종이 발견되었습니다.
그러나 이 EternalRocks SMB Worm 개발자는 미디어에서 집중적으로 초점을 맞춘 후 작업을
종료한 것처럼 보입니다.[ref]

EternalRocks는 대상에 영향을 주고 페이로드를 다운로드 한 후에 여러 SMB 취약성을 악용하여

확산됩니다.

 

다음은 일부 네트워크 트래픽입니다.

 

다음은 파일쓰기 작업입니다.

 

 

다운로드 된 악용 사례는 다음의 디렉토리에서 확인되었습니다.

 

 

Config 디렉토리에는 Exploit 이름을 가진 설정 파일이 있습니다.

 

 

이러한 EternalRocks Worm 피해를 최소화 할 수 있는 방안은 다음과 같습니다.

 

- 모든 SMB 취약점을 최신버전으로 패치 합니다.
- C&C서버(ubgdgno5eswkhmpy.onion)에 대한 엑세스를 차단하고 Torproject.org에 대한 엑세스를 차단합니다.
- 새로 추가 된 예약된 작업을 모니터링 합니다.

 

오늘은 EternalRocks Computer Worm에 대한 포스팅을 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.