Експерти з’ясували, яка ОС стане новою жертвою WannaCry

Експерти з безпеки компанії RiskSense успішно модифікували експлойт EternalBlue, використовуваний знаменитим трояном WannaCry. Тепер експлойт можна застосовувати для Windows 10, пише TechNews.

Windows 10 більше не панацея

Фахівці компанії RiskSense опублікували розлогу доповідь про те, як можна змусити працювати експлойт EternalBlue в середовищі Windows 10, яка раніше в ній не функціонувала.

EternalBlue – це один з «експлойтів АНБ», викрадених у кібер-угруповання Equation в 2016 р.. В середині квітня 2017 року цей експлойт, поряд з кількома іншими, поширила група The Shadow Brokers. Незабаром після цього відбулася глобальна епідемія шифрувальника-здирника WannaCry, в якому використовувався даний експлойт.

Глобальна кібератака з використанням вірусу-здирника WannaCry почалася 12 травня 2017 р.. Вірус заразив десятки тисяч комп’ютерів по всьому світу, в тому числі, комп’ютери державних установ.

Перед ним уразливі всі комп’ютери на базі операційних систем Windows молодше десятої версії. У Windows 10 реалізований ряд захисних механізмів, покликаних запобігати проникненню шкідливого ПЗ в систему, і EternalBlue перед ними був безсилий.

Однак експерти RiskSense продемонстрували, що цей експлойт можна змусити працювати і під Windows 10, хоча і відзначили, що березневе оновлення системи MS17-010 є найбільш ефективним бар’єром проти шкідливого ПО, що використовує EternalBlue.

«Ми опустили ряд подробиць …»

В опублікованому документі дослідники показали, як їм вдалося обійти інструменти захисту Windows 10 – зокрема, придумати новий спосіб обійти DEP (Data Execution Prevention, функція запобігання виконання даних) і ASLR (address space layout randomization – «рандомизация розміщення адресного простору»).

Як розповів старший аналітик компанії Шон Діллон (Sean Dillon), RiskSense не планують в найближчому майбутньому випускати вихідний код «порту» EternalBlue під Windows 10. У публікації опущені багато подробиць, які ні до чого легітимним дослідникам з безпеки і можуть зацікавити тільки зловмисників.

Зате інші аспекти розписані у всіх деталях. 

«Оригінальний» EternalBlue працює в зв’язці з Бекдор DoublePulsar, який повинен потрапити в систему першим. Як заявив Діллон, багато фахівців з кібербезпеки приділили «Пульсару» надмірно пильну увагу. Тим часом, він цілком замінюється чимось ще.

«DoublePulsar – це свого роду відволікаючий маневр спеціально для експертів з безпеки, – заявив Діллон. – Ми довели це, створивши новий компонент, що дозволяє безпосередньо завантажувати шкідливе ПО, без попередньої установки DoublePulsar. Так що ті, хто хоче в майбутньому захиститися від подібних атак, не варто зосереджувати увагу на DoublePulsar. Краще зайнятися тим частинами експлойта [EternalBlue], які можна ідентифікувати і заблокувати ».

Новим компонентом для EternalBlue стала асинхронна процедура виклику Windows, що дозволяє запускати шкідливі компоненти з-під призначеного для користувача режиму процесорного доступу без використання бекдора. Технічні подробиці реалізації цього методу, а також опис технічних методів захисту доступні за посиланням .

Експерти RiskSense вказують, що найбільш дієвим методом захисту все одно залишається установка оновлення від Microsoft, що вийшов в березні 2017 р

– Сталося те, що й повинно було статися, – вважає Ксенія Шилак, директор з продажу компанії SEC-Consult Рус. – Відрадно, що «портом» EternalBlue займалися легітимні фахівці з безпеки, а не кримінальні хакери. Тепер, принаймні, у потенційних жертв є інформація про те, які заходи можна вжити, щоб захиститися. Проблема в тому, що епідемія WannaCry добре показала, як часто користувачі і системні адміністратори нехтують установкою навіть критично необхідних оновлень.

Модуль в Metasploit

Експерти RiskSense були серед перших, хто взявся пильно вивчати EternalBlue і DoublePulsar. Уже через два дні після основної хвилі атак з боку WannaCry вони додали в платформу Metasploit модуль, який представляє собою «усічений» варіант EternalBlue, який також не потребує DoublePulsar. Завдяки відсутності бекдора, модуль генерує менше трафіку, що дозволяє обходити автоматичні системи виявлення вторгнень, налаштовані на EternalBlue і DoublePulsar.

Джерело: cnews.ru

Не пропустіть: