「永恒之石」一口气用同个黑客集团外流的七个漏洞展开攻击，与WannaCry较劲？

　　一个名为“永恒之石”的最新恶意程序火爆网络圈！它不仅会攻击ShadowBrokers黑客集团从美国国安局（NSA）外流并被恶名昭彰的WannaCry（想哭）勒索蠕虫所利用的EternalBlue和DoublePulsar两个漏洞。

　　厉害的是他还会攻击其他五个由同一黑客集团所外流的漏洞：EternalChampion、EternalRomance、EternalSynergy、ArchiTouch以及SMBTouch。这些都是针对Microsoft Server Message Block（SMB）网络资源（如档案及打印机）分享通讯协定的漏洞。

　　感染目标设备后，分两阶段执行安装程序

　　“永恒之石”恶意程序最早是由科罗埃西亚电脑紧急应变小组（CERT）安全研究人员Miroslav Stampar发现，该恶意程序一旦感染指定的计算机后，会分两个阶段执行安装程序。

　　第一阶段，恶意程序会下载TOR客户端来建立通信管道；

　　第二阶段，再透过该管道与其幕后操纵（C&C）服务器通信。

　　最可怕是，该C&C服务器并不会立即做出回应，而是等过了24小时之后才响应。这样的延迟设计，可能是为了躲避沙盒模拟分析技巧的测试以及安全人员的分析。

　　一旦C&C服务器开始响应，就会送出一个ZIP压缩档（shadowbrokers.zip），里面含有NSA相关漏洞的攻击套件。当“永恒之石”解开压缩档之后，就会开始扫描网络上是否有任何电脑开放了TCP 445连接埠，如果有就会试图加以感染。“永恒之石”所用到的某些漏洞在Microsoft三月份的MS17-010更新当中已经解决。

　　通过由蠕虫的方式进行散布

　　“永恒之石”通过由蠕虫的方式进行散布，因此万一黑客将该恶意程序变成一种武器，感染“永恒之石”的电脑就会遭遇意想不到的严重后果。

　　此外，WannaCry内置了一个「关闭开关」，当它能够联机至某个网域时就会自动关闭，其疫情才会获得控制。但“永恒之石”没有这样的开关，所以一旦爆发疫情，后果可能会一发不可收。

　　企业和用户即刻未雨绸缪，防患未然

　　如果WannaCry带来的疫情还不能让人们意识到系统更新修补的重要，那么这个可能更加危险的最新恶意程序，或许可以提高大家的危机意识。由于“永恒之石”利用的同样也是WannaCry所用的漏洞，因此企业或个人使用者都应趁“永恒之石”还未出现危险行为之前，快速更新修补自己的系统。对于像WannaCry及“永恒之石”这样的恶意程序，预防胜于治疗，即刻未雨绸缪，防患未然。