在WannaCry疯狂传播的尾声，上周三（5.17）安全研究员Miroslav Stampar（克罗地亚政府CERT成员、Sqlmap的创造者之一）在他搭建的SMB蜜罐中，发现新的蠕虫正在通过SMB漏洞传播。研究员Stampar的蜜罐中捕获的不是WannaCry，而是一种利用7种NSA工具新的蠕虫。
0x01、EternalRocks特点
1、EternalRocks利用7种NSA工具
研究员Stampar把这款新的蠕虫命名为EternalRocks，他在蠕虫程序中发现这个样本，该样本利用六种NSA工具来感染网络上暴露SMB端口的计算机，这些用来攻击计算机的SMB漏洞的NSA工具是ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE,和 ETERNALSYNERGY。其中SMBTOUCH和ARCHITOUCH 是NSA工具中用来对SMB漏洞扫描的。一旦蠕虫成功攻击一台计算机，便可利用另外一个NSA工具（DOUBLEPULSAR）感染其他易受攻击的计算机。

WannaCry疯狂传播目前已经有240,000多台计算机被勒索攻击，WannaCry正是使用的SMB漏洞来攻击和感染计算机。但是，WannaCry和EternalRocks之间存在不同之处，WannaCry只使用ETERNALBLUE和DOUBLEPULSAR这两种NSA工具来感染计算机，而EternalRocks利用了NSA工具种的7种。
2、EternalRocks更复杂，但危险更小
研究员Stampar披露：作为一个蠕虫，EternalRocks的危险性远不如WannaCry，因为它目前没有绑定任何恶意软件。但是并不意味着EternalRocks就很简单，结果恰恰相反。EternalRocks比WannaCry的SMB蠕虫组件更为复杂，因为EternalRocks对计算机的感染一共分为两步，第一步执行完后存在一个休眠期，休眠期结束后才会执行第二步。
在第一步，EternalRocks感染计算机并获得权限，然后下载Tor客户端运行，然后向暗网中一个. Onion域名C＆C服务器发出请求。
经过休眠期（目前为24小时），C＆C服务器才会做出响应。休眠期的存在可能会绕过沙盒安全检测，或者是安全研究者对蠕虫的分析，所以推迟24小时C＆C服务器才做出响应是非常有必要的。
3、无开关域名
另外，EternalRocks使用与WannaCry相同名称的文件，目的是引导安全研究人员将其错误分类，扰乱逆向分析方向。
与WannaCry不同的是，EternalRocks并没有使用“开关域名”， “开关域名”在 WannaCry传播中起着至关重要的作用，以至于安全研究员在WannaCry传播的时候发现“开关域名”的作用后，把域名注册后WannaCry暂时停止传播。
经过24小时的休眠期，C＆C服务器开始响应。EternalRocks开始进入第二步，在第一步已感染主机上下载一个名为shadowbrokers.zip的压缩包。shadowbrokers.zip文件目前不用过多介绍，安全从业者们也知道是做什么用的。接下来，EternalRocks便开始快速扫描IP并尝试连接、感染。

0x02、利用EternalRocks进行深入攻击
由于EternalRocks利用的NSA工具多且无“开关域名”，同时存在一个休眠期。如果EternalRocks作者绑定一些勒索软件、木马、RAT或者其他的恶意软件，那么EternalRocks可能会对公网上存在SMB漏洞的计算机构成严重威胁。
目前来看，这个蠕虫还在测试中，其作者正在测试蠕虫未来可能具有威胁。并不意味着EternalRocks无杀伤力，EternalRocks作者可以通过C&C服务器对已感染的计算机发出指令，同时可以利用此隐藏的通信通道将新的恶意软件发送到之前已被EternalRocks感染的计算机。
另外，NSA工具中具有后门功能的DOUBLEPULSAR同样可以在已感染EternalRocks的计算机上运行，但是，EternalRocks作者没有对已感染EternalRocks的计算机上的DOUBLEPULSA使用采取任何加密保护措施，DOUBLEPULSAR目前都是默认配置。其他攻击者也可以使用已感染EternalRocks的计算机中的后门，可以通过这个后门安装新的恶意软件到计算机中。更多详细介绍可以去Stampar研究员的github 上查看：https://github.com/stamparm/EternalRocks/
0x03、免费的SMB
目前，黑客们已经在扫描使用旧版本SMB协议的计算机，或者没有为系统打补丁的计算机。WannaCry勒索软件爆发后，管理员们高度关注，对存在漏洞的机器打补丁或者禁用旧版本SMB协议，这样一来能被EternalRocks感染的机器数量正在慢慢减少。     
研究员Stampar说：管理员们越快为系统打上新补丁越好，但是如果EternalRocks在管理员打补丁之前就已经感染，那么EternalRocks的控制者便可随时发动的进一步攻击。