繼WannaCry席卷全球后，惡意軟件永恒之石（EternalRock）浮出水面，該惡意程序利用了黑客組織從NSA竊取的七種“網絡武器”。

NSA“網絡武器”被惡意者重新包裝，以盡可能地傳染給更多系統。基于“永恒之藍”制作的WannaCry勒索蠕蟲病毒在不到一周內感染超30萬系統，而這次的永恒之石惡意軟件總共包含七個NSA攻擊工具。

永恒之石由克羅地亞政府機構CERT的IT安全顧問和專家Miroslav Stampar發現，最早在SMB蜜罐中感染此惡意程序。在對惡意軟件進行分析后，Stampar發現它使用了由NSA開發的四個SMB漏洞（EternalBlue、EternalChampion、EternalRomance和EternalSynergy）來獲取訪問權限、使用兩個NSA工具（SMBTouch和ArchiTouch）進行SMB偵察操作，以及使用DoubplePulsar來傳播感染。

據Stampar表示，永恒之石以永恒之藍開始運行一個多進程來感染系統，通過Tor聯系命令和控制服務器（C&C）并安裝額外組件。初始運行后，它會丟棄利用包shadowbrokers.zip并解壓其中包含的目錄payloads /、configs /以及bins /。然后在網上隨機掃描445（SMB）端口，并通過有效載荷（在目錄payloads /中）推送第一階段的惡意軟件。同時，它會運行第一階段的Tor進程以獲取C&C下一步指示。

新的惡意軟件較之之前的更為復雜，漏洞一直在被利用卻沒有被發現，且作為一個沒有實際形態的惡意軟件，永恒之石可能會廣泛傳播并建立更具破壞性的攻擊。對于正在修復SMB漏洞的企業來說，一旦設備感染了該惡意程序，后續補丁不會刪除惡意軟件。

目前，企業安全團隊應利用網絡流量分析來查找離開企業的歷史Tor連接，對異常行為進行監測，并為所有關鍵數據建立一個行之有效的備份和恢復計劃。企業應該立即禁用SMB v1，并使用打過補丁和受支持的操作系統。

眼下最受業界關心的當屬黑客組織手里掌握的還未發布的“網絡武器”，知道攻擊者的底牌也能更好的“兵來將擋，水來土掩”。不過，無論之后的攻擊是否基于NSA攻擊工具，IT專業人士都要準備好主動出擊，畢竟攻擊來自哪兒不重要，防住了才重要。