摘要：# 新型网络病毒“永恒之石”：别怕，但别不当回事 我前两天刚翻到一个安全群的聊天记录，里面有个哥们说：“我们公司服务器好像中招了，流量不大，但就是感觉哪里不对劲。”排查了半天，最后发现是个新变种——手法很老道，但路径挺刁钻。这感觉你懂吧？就像家里进了贼，…

新型网络病毒“永恒之石”：别怕，但别不当回事

我前两天刚翻到一个安全群的聊天记录，里面有个哥们说：“我们公司服务器好像中招了，流量不大，但就是感觉哪里不对劲。”排查了半天，最后发现是个新变种——手法很老道，但路径挺刁钻。这感觉你懂吧？就像家里进了贼，没偷什么大件，但东西被挪了位置，让你心里直发毛。

这就是现在很多新型网络病毒的现状。它们不一定是那种一上来就让你服务器瘫痪、数据全红的“狂暴型选手”，更多是像“永恒之石”（EternalRocks）这类，悄无声息地潜伏，利用你系统里那些“陈年老洞”，慢慢渗透，慢慢扩张。

今天咱们就聊聊这个“永恒之石”，以及怎么对付它这类玩意儿。说真的，很多所谓查杀方案，PPT很猛，真遇到的时候就露馅了。

这玩意儿到底是个啥？别被名字唬住

“永恒之石”这名字听起来挺唬人，其实它的本质，说白了，就是一个利用“永恒系列”漏洞的蠕虫病毒变种。

你可能还记得2017年那场席卷全球的“WannaCry”勒索病毒吧？它利用的是微软MS17-010漏洞（也就是“永恒之蓝”）。而“永恒之石”，可以看作是它的一个更“狡猾”、更“耐心”的亲戚。

它最大的特点是什么？不张扬，有耐心。

普通的勒索病毒一进来就加密文件，弹窗要钱，搞得鸡飞狗跳。但“永恒之石”不这样。它利用SMBv1协议里那一堆漏洞（永恒之蓝只是其中之一），像玩多米诺骨牌一样，一个接一个地尝试。更绝的是，它感染一台机器后，会先潜伏下来——可能几小时，可能几天，然后才去联系它的“指挥中心”（C2服务器），下载真正的恶意载荷。

这意味着什么？意味着传统的基于流量特征的即时检测，很可能在它潜伏期就把它放过去了。等你发现异常的时候，它可能已经在你的内网里“旅游”了好几个来回，地图都画好了。

我自己看过不少中招的案例，问题往往不是没上防护，而是防护策略太“想当然”了。以为打了永恒之蓝的补丁就万事大吉，结果人家用的是永恒冠军、永恒浪漫、永恒协同……一套组合拳下来，防线形同虚设。

它怎么传播的？别总觉得“与我无关”

很多运维朋友可能会想：“我们服务器都打了补丁了，应该没事吧？”

——这种想法最危险。

“永恒之石”的传播，靠的不仅仅是漏洞本身，更是对“人”和“流程”漏洞的利用。我给你举几个活生生的场景：

• 场景一： 某公司市场部同事，在咖啡店连公共Wi-Fi收了个邮件，附件是个看似正常的PDF（其实是伪装）。他电脑上的老旧PDF阅读器有个未修复的漏洞，一点开，中招了。回到公司连上内网，病毒开始在内网扫描。
• 场景二： 某企业一台用于测试的旧服务器，系统是Windows Server 2008 R2，觉得没对外服务就没急着打最新补丁。结果，它成了内网的“跳板机”。
• 场景三： （这是我听一个做应急响应的朋友讲的真实案例）攻击者先通过钓鱼网站拿到了一个普通员工的邮箱权限，然后以他的名义，给IT部门发了一封“紧急：请协助安装新版远程工具”的邮件，附件带毒。IT同事出于信任，在权限较高的电脑上运行了……

看，它的入口可能非常“生活化”。你以为固若金汤的边界防火墙，可能被一封钓鱼邮件、一个U盘、甚至一个被攻破的第三方合作商VPN账号就给绕过去了。

所以，如果你的安全思维还停留在“守住大门就行”的阶段，那你心里其实已经有答案了——防不住。

怎么查？别光盯着杀毒软件日志

查杀这类高级蠕虫，不能只靠杀毒软件“已检测到威胁”的弹窗。那都是最后一道防线了，等它弹窗，往往意味着它已经做了一些“不该做”的事情。

你需要像侦探一样，从一些不起眼的痕迹里找线索：

1. 看“不正常”的网络连接： 这是最直接的。定期检查内网服务器和工作站，有没有向一些陌生IP（尤其是海外非常用IP）的445、139等端口发起连接。可以用netstat -ano命令简单看看，但最好有流量分析工具。突然出现大量SMB协议扫描内网其他机器的行为，更是高危信号。
2. 看“计划任务”和“服务”： “永恒之石”这类病毒喜欢把自己注册成系统服务或者创建计划任务来实现持久化驻留。多看看有没有名字奇怪（比如一串随机字符）、描述为空、指向可疑可执行文件的服务。schtasks 和 services.msc 是你的好朋友。
3. 看“登录”日志： 尤其是Windows系统的安全日志（Event ID 4624, 4625, 4672等）。留意是否有大量失败的登录尝试，或者来自异常位置、异常账户的成功登录。这可能是病毒在尝试横向移动。
4. 看“文件”的小动作： 在系统目录（如C:\Windows\Temp, C:\Users\Public）下，突然出现名字怪异的.exe、.dll文件，或者常见系统文件（如svchost.exe）旁边多了个“邻居”，都要高度警惕。

说白了，查杀的核心是“发现异常”。而发现异常的前提是，你得知道你的系统“正常”的时候长什么样。这就是为什么基线安全配置和持续的日志监控如此重要——没有“正常”的基准，所有的“异常”都无从谈起。

怎么防？三板斧，但每一斧都得砍对地方

讲完了查，咱们说最关键的防。我总结了三层，但你别以为层层叠加就完事了，每一层都得配对了才行。

第一层：补丁管理，别留“祖传漏洞”

这是老生常谈，但也是最重要、最便宜的一层。微软的MS17-010等一系列“永恒”漏洞补丁早就发布了。

• 大实话时间： 很多公司不是没打补丁，是打得不全、不及时。尤其是那些认为“稳定压倒一切”、不敢给生产服务器打补丁的企业。结果就是，病毒专挑这些“稳定”的软柿子捏。对于实在无法立即打补丁的老旧系统（比如一些工业控制设备），必须进行严格的网络隔离，绝对不能让它处在和内网核心业务畅通无阻的位置。

第二层：边界与内网隔离，别搞“天下大同”

防火墙不是万能的，但没有防火墙是万万不能的。

• 在边界防火墙： 坚决封堵不必要的入站SMB端口（445, 139等）。除非有绝对必要，否则任何从互联网直接访问内部文件共享的行为都是作死。
• 在内网： 实施网络分段。别让财务部的电脑能直接扫描到研发部服务器的端口。根据业务需要划分VLAN，用ACL（访问控制列表）控制区域间的访问。这样，就算一个区域沦陷，也能把病毒困在原地，防止全网蔓延。
• 对于服务器： 配置Windows防火墙或其他主机防火墙策略，只允许特定的、可信的IP地址访问高危端口。

第三层：增强检测与响应，别当“事后诸葛亮”

这一层是给前面两层上保险，也是应对新型病毒最有效的一层。

• 部署端点检测与响应（EDR）： 好的EDR不仅能查杀已知病毒，更能通过行为分析，发现“永恒之石”这种利用合法系统工具（如PowerShell、PsExec）进行恶意操作的“无文件攻击”或“生活化攻击”。它能看到进程链、网络连接、注册表修改的完整上下文，这是传统杀毒软件做不到的。
• 建立安全运营中心（SOC）或使用MDR服务： 靠人力7x24小时看日志不现实。要么自己组建团队，搭配SIEM（安全信息和事件管理）系统做分析；要么把专业的事交给专业的人，购买托管检测与响应服务。让他们帮你从海量日志里捞出真正的威胁。
• 最重要的：定期做攻防演练和红蓝对抗。纸上谈兵永远不知道问题在哪。找个靠谱的安全团队，模拟“永恒之石”的入侵方式，真刀真枪地打一遍，你才能发现流程上的漏洞、技术上的短板、人员意识上的薄弱点。很多问题，不打不知道，一打吓一跳。

最后说点实在的

新型网络病毒像“永恒之石”，其实并不可怕。它用的技术并不新鲜，防御手段也都是成熟的。

真正可怕的，是轻敌的心态和僵化的防护思路。以为上了个防火墙、买了个杀毒软件就高枕无忧；以为打了著名漏洞的补丁就万事大吉；以为安全只是IT部门的事，与业务部门无关。

安全是一个动态的过程，是“攻”与“防”不断博弈的过程。没有一劳永逸的银弹。

所以，行了，不废话了。赶紧去检查一下你的补丁策略、网络分区和日志监控吧。别等中招了才想起来，那时候的成本，可比现在做这些预防工作高多了。