ในตอนนี้คงไม่มีใครไม่รู้จัก Ransomware ชื่อดังอย่าง WannaCry ซึ่งเป็นตัวที่ดัดแปลงมาจาก NSA Tool ที่ชื่อว่า Eternal Blue สำหรับการโจมตีช่องโหว่ใน service SMB (port 445) และฝัง Backdoor ที่ชื่อว่า DoublePulsar นั่นหมายความว่า WannaCry มีการดัดแปลงเครื่องมือจาก NSA 2 ตัวเท่านั้นจากที่มีการปล่อยมาทั้งหมดจาก Shadow Broker แต่ตัวใหม่ที่ชื่อว่า EternatRocks นั้นมีการนำเครื่องมือจาก NSA มาดัดแปลง 7 ตัวด้วยกัน

EternalRocks มีการใช้งานเครื่องมือ 2 ตัวจาก NSA ในการเก็บข้อมูลรายละเอียด SMB โดยใช้เครื่องมือ 2 ตัวจาก NSA คือ SMBTOUCH และ ARCHITOUCH จากนั้นใช้เครื่องมือต่างๆของ NSA ไม่ว่าจะเป็น ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, และ ETERNALSYNERGY ทั้งหมด 4 ตัวในการโจมตี สุดท้ายทำการฝัง backdoor ที่ชื่อว่า DOUBLEPULSA ต่ออีกที

EternalRocks นั้นไม่มีการฝัง malware content แต่อย่างใด นั่นหมายความว่า ณ ปัจจุบัน EternalRocks ยังไม่น่ากลัวทางด้านผลกระทบเท่ากับ WannaCry นั่นเอง

ใน EternalRocks เองนั้นไม่มี kill switch domain feature แต่อย่างใดนั่นหมายความว่าจะไม่มีการตรวจสอบ domain ใดๆก่อนจะเริ่มทำงาน จะเป็นการเริ่มทำงานทันที ซึ่ง EternalRocks จะเริ่มจากการฝังตัวเข้าไปในเครื่อง, จากนั้น download Tor Client และติดต่อไปยัง C&C Server (Command & Control Server) ต่ออีกที ซึ่งกว่า C&C Server จะตอบกลับมา จะใช้เวลาประมาณ 24 ชม. เพื่อทำการพยายาม bypass Sandbox และไม่ให้ตรวจจับจาก Security Researcher ได้ (โดยปกติ Sandbox ระดับ enterprise ต่างๆ มักจะเข้าไปแก้ไข code ของ malware ตอน Runtime ให้เปลี่ยน sleep ต่างๆกลายเป็น 0 เพื่อปิดการหน่วงเวลาของ Malware ต่างๆที่ทำงานตามเวลาที่กำหนดหรือ Logic Bomb นั่นเอง)

หลังจากผ่าน stage แรก ผ่านไป ก็เป็น stage ที่ 2 จะเริ่มทำการติดตั้งโดยการ download shadowbrokers.zip มาเพิ่ม โดยภายในนั้นจะเป็น pack tool ของ NSA ที่หลุดมาโดย Shadow Broker จากนั้นจึงใช้ tool นั้น scan IP แบบ random เพื่อกระจายตัวต่อไป

จากการวิเคราะห์ของ EternalRocks ที่พบ พบว่าชื่อจริงๆก่อนหน้าที่จะเป็น EternalRocks จะใช้ชื่อว่า “MicroBotMassiveNet” และชื่อของผู้เขียนคือ “tmc”

Source:: BleepingComputer, Stamparm