Эксперты выяснили, какая ОС станет новой жертвой WannaCry

Эксперты по безопасности компании RiskSense успешно модифицировали эксплойт EternalBlue, используемый знаменитым трояном WannaCry. Теперь эксплойт можно применять для Windows 10.

Windows 10 больше не панацея

Специалисты компании RiskSense опубликовали пространный доклад о том, как можно заставить работать эксплойт EternalBlue в среде Windows 10, ранее в ней не функционировавший.

EternalBlue - это один из «эксплойтов АНБ», похищенных у кибергруппировки Equation в 2016 г. В середине апреля 2017 г. этот эксплойт, наряду с несколькими другими, распространила группа The Shadow Brokers. Вскоре после этого произошла глобальная эпидемия шифровальщика-вымогателя WannaCry, в котором использовался данный эксплойт.

Глобальная кибератака с использованием вируса-вымогателя WannaCry началась 12 мая 2017 г. Вирус заразил десятки тысяч компьютеров по всему миру, в том числе, компьютеры государственных учреждений.

Перед ним уязвимы все компьютеры на базе операционных систем Windows младше десятой версии. В Windows 10 реализован ряд защитных механизмов, призванных предотвращать проникновение вредоносного ПО в систему, и EternalBlue перед ними был бессилен.

Однако эксперты RiskSense продемонстрировали, что этот эксплойт можно заставить работать и под Windows 10, хотя и отметили, что мартовское обновление системы MS17-010 является наиболее эффективным барьером против вредоносного ПО, использующего EternalBlue.

«Мы опустили ряд подробностей...»

В опубликованном документе исследователи показали, как им удалось обойти инструменты защиты Windows 10 - в частности, придумать новый способ обойти DEP (Data Execution Prevention, функция предотвращения выполнения данных) и ASLR (address space layout randomization — «рандомизация размещения адресного пространства»).

Как рассказал старший аналитик компании Шон Диллон (Sean Dillon), RiskSense не планируют в обозримом будущем выпускать исходный код «порта» EternalBlue под Windows 10. В публикации опущены многие подробности, которые ни к чему легитимным исследователям по безопасности и могут заинтересовать только злоумышленников.

Зато другие аспекты расписаны во всех деталях.

«Оригинальный» EternalBlue работает в связке с бэкдором DoublePulsar, который должен попасть в систему первым. Как заявил Диллон, многие специалисты по кибербезопасности уделили «пульсару» излишне пристальное внимание. Между тем, он вполне заменяем чем-то еще.

«DoublePulsar - это своего рода отвлекающий маневр специально для экспертов по безопасности, - заявил Диллон. - Мы доказали это, создав новый компонент, позволяющий напрямую загружать вредоносное ПО, без предварительной установки DoublePulsar. Так что те, кто хочет в будущем защититься от подобных атак, не стоит сосредотачивать внимание на DoublePulsar. Лучше заняться тем частями эксплойта [EternalBlue], которые можно идентифицировать и заблокировать».

Новым компонентом для EternalBlue стала асинхронная процедура вызова Windows, позволяющая запускать вредоносные компоненты из-под пользовательского режима процессорного доступа без использования бэкдора. Технические подробности реализации этого метода, а также описание технических методов защиты доступны по ссылке.

Эксперты RiskSense указывают, что наиболее действенным методом защиты все равно остается установка обновления от Microsoft, вышедшего в марте 2017 г.

- Произошло то, что и должно было произойти, - считает Ксения Шилак, директор по продажам компании SEC-Consult Рус. - Отрадно, что «портом» EternalBlue занимались легитимные специалисты по безопасности, а не криминальные хакеры. Теперь, по крайней мере, у потенциальных жертв есть информация о том, какие меры можно принять, чтобы защититься. Проблема в том, что эпидемия WannaCry хорошо показала, как часто пользователи и системные администраторы пренебрегают установкой даже критически необходимых обновлений.

Модуль в Metasploit

Эксперты RiskSense были среди первых, кто взялся пристально изучать EternalBlue и DoublePulsar. Уже через два дня после основной волны атак со стороны WannaCry они добавили в платформу Metasploit модуль, представляющий собой «усеченный» вариант EternalBlue, который также не нуждается в DoublePulsar. Благодаря отсутствию бэкдора, модуль генерирует меньше трафика, что позволяет обходить автоматические системы обнаружения вторжений, настроенные на EternalBlue и DoublePulsar.

Нравится12
Комментарии (32)
  • 10
    C момента начала атак WannaCry биткоин вырос почти в 2 раза. Только представьте...средства многих людей увеличились в 2 раза :)
    Все СМИ молчат. Не хотят давать людям шанс навариться на этом :)
  • 7
    YamyyYamyy
    О чем ты? WannaCry появился где-то в январе месяце 2017 года. Курс битка был стабильным до конца апреля месяца, примерно в конце апреля (с 20 числа) он попер в гору. Не думаю что сюда можно приписать WannaCry и криптовалюту.
  • 15
    Шумиху неслабую развели с этим WannaCry. У меня на работе народ постоянно ловит всякие баннеры, как и везде, и всё тихо, А всему виной обычная компьютерная безграмотность. Не нужны никакие антивирусы, да и они не всегда спасут, просто нужно понимать "по каким ссылкам не надо лесть".
  • 6
    sanchez752
    да, не стоит лезть по ссылкам минет 100м. и бесплатные программы. тут нужен антивирус и верный глаз
  • 3
    Не ужели инсайдр творит чудеса?
  • 6
    sanchez752
    MaksimkaPlay
    Сколько раз вам повторять, что эта штука САМА залезает в комп и даже если ты браузер трогать не будешь - она пролезет. Достаточно интернет соединения
  • 6
    sanchez752
    sanchez752 написал:
    У меня на работе народ постоянно ловит всякие баннеры

    Чем они там занимаются?
    У вас контора по просмотру порнухи что ли?
  • 2
    Хоспаде да какая разница какая ОС...

  • 2
    Windows 10 больше не панацея

    Как?? Не может быть! Неужели 10-ка больше не оплот безопасности. Варп не вынесет этого.

    Бомбардировщик
    Ну вот, спалил контору. xD
  • 0
    Бомбардировщик
    Да старперам делать нехрен, вот и сидят в интернетах..
  • 0
    sanchez752
    масса стариков работает? почему именно деды?
  • 0
    Бомбардировщик
    Так во всех госконторах. Увольнять могут только по статье, а на пенсию им не охота. Про многих плохого не скажешь, но вот некоторых так и хочется гнать, место занили получают нормально за большой стаж, а нехрена не делают. Вместо них можно молодого посадить.
  • 0
    sanchez752
    понял! у вас значит госконтора? это жесть! пенсионный фонд? ты пенсионер?
    работа кипит или все балду пинают?
  • 0
    Бомбардировщик
    Вот ща обижаешь, я ж не гуманитарий сранный. Конструктором работаю, молодых там бояться потерять, продуктивность больше, поэтому платят хорошо)
  • 1
    Ну нахер. Перехожу на IVAN OC
  • 0
    sanchez752
    Что производите? какую аппаратуру?
    только не говори что эльбрусы
    насколько ты молодой специалист?
  • 0
    Бомбардировщик
    Военка и гражданка) Медицина, локационные станции, остальное секретки.
    5 лет там стукнуло, устроился еще бакалавром.
  • 0
    Антивирусы и весь этот мусор не нужен , нужно интуитивно понимать с каких сайтом можно качать а с каких нет .
  • 0
    sanchez752
    Приятно, что на ПГ есть люди, которые реально занимаются полезным делом в нашей стране, а не только ноющая школота, ничерта не делающая и ненавидящая "рашку", как они называют свою страну. Респект тебе!
  • 0
    Burglar2k
    sanchez752
    Мне кажется, он к тебе подлизывается, потому что американский шпион, аххахахах)))))
  • 0
    Burglar2k
    Спасибо) А так забавляют такие люди, которые жалуются, что работы нет. На деле обычно бездельники ищущие оправданий. Работу всегда найти можно, а если пахать, то вообще жаловаться не надо будет). Благодаря таким на двух работах уже сижу)
    Но на митинг завтра схожу)
    Mabel Pines
    Про секретки все равно ничего не скажу. Туда не лезу, я слишком молод, мир еще повидать охота)
  • 0
    sanchez752
    А дедков кучи на производстве? сотни?
  • 0
    Бомбардировщик
    Да немного, но в частных конторах таких не задерживаю, сразу показывают, где выход.
  • 0
    sanchez752
    распилы серьезные? или без палева?
  • 0
    Бомбардировщик
    Распилы везде) Но у нас народ хоть шаристый, поэтому контора норм держится, хоть и кризис всюду по стране.
  • 0
    C момента начала атак WannaCry биткоин вырос почти в 2 раза.
    Все СМИ молчат. Не рассказывают((
  • 0
    sanchez752
    Ну на счёт митинга не знаю. Я, конечно, согласен, что у нас во власти ворьё все грани перешло, но с таким Г, как Навальный я бы и на одном поле гадить не сел. И уж тем более со школотой, у которой он кумир и которой на том митинге будет явно не мало. А когда-то я ходил на его митинги (когда они были по поводу фальсификации выборов), но сейчас он слишком скатившийся и ущербный, от одних только его роликов тошнит, эта школо-стилистика... Будто посмотрел Хованского, Немагию и Ларина вместе взятых. Да и Собчак при всей своей тупости уделала в своём интервью этого "будущего президента", которым он, конечно же, никогда не будет (и хорошо).
  • 0
    Burglar2k
    Меня он тоже раздражает уже, на сейчас он самый крупный оппозиционер, для массовки прогуляюсь. Я не жалуюсь на свою жизнь, но я исправно плачу все налоги и смотреть на убогий стадион в моём городе, который попадает в топ самых дорогих объектов мира, но по качеству как доступые новостройки на окраине, не могу.
    То интервью тупо промотал за 1 минуту. Ок..
  • 0
    sanchez752
    Что ж, конструктор, с ошибками-то пишешь? )) Не комильфо.
  • 0
    Верзор
    С планшета тяжко)
  • 0
    sanchez752
    А-а, ясно.
  • 0
    ибо нефиг прон качать и .exe скачивать из почты
B
i
u
Спойлер