IT обозрение

Эксперты по безопасности компании RiskSense успешно модифицировали эксплойт EternalBlue, используемый знаменитым трояном WannaCry. Теперь эксплойт можно применять для Windows 10.

Windows 10 больше не панацея
Специалисты компании RiskSense опубликовали пространный доклад о том, как можно заставить работать эксплойт EternalBlue в среде Windows 10, ранее в ней не функционировавший.
EternalBlue — это один из «эксплойтов АНБ», похищенных у кибергруппировки Equation в 2016 г. В середине апреля 2017 г. этот эксплойт, наряду с несколькими другими, распространила группа The Shadow Brokers. Вскоре после этого произошла глобальная эпидемия шифровальщика-вымогателя WannaCry, в котором использовался данный эксплойт.
Глобальная кибератака с использованием вируса-вымогателя WannaCry началась 12 мая 2017 г. Вирус заразил десятки тысяч компьютеров по всему миру, в том числе, компьютеры государственных учреждений.
Перед ним уязвимы все компьютеры на базе операционных систем Windows младше десятой версии. В Windows 10 реализован ряд защитных механизмов, призванных предотвращать проникновение вредоносного ПО в систему, и EternalBlue перед ними был бессилен.
Однако эксперты RiskSense продемонстрировали, что этот эксплойт можно заставить работать и под Windows 10, хотя и отметили, что мартовское обновление системы MS17-010 является наиболее эффективным барьером против вредоносного ПО, использующего EternalBlue.

«Мы опустили ряд подробностей…»
В опубликованном документе исследователи показали, как им удалось обойти инструменты защиты Windows 10 — в частности, придумать новый способ обойти DEP (Data Execution Prevention, функция предотвращения выполнения данных) и ASLR (address space layout randomization — «рандомизация размещения адресного пространства»).

Как рассказал старший аналитик компании Шон Диллон (Sean Dillon), RiskSense не планируют в обозримом будущем выпускать исходный код «порта» EternalBlue под Windows 10. В публикации опущены многие подробности, которые ни к чему легитимным исследователям по безопасности и могут заинтересовать только злоумышленников.

Зато другие аспекты расписаны во всех деталях.
«Оригинальный» EternalBlue работает в связке с бэкдором DoublePulsar, который должен попасть в систему первым. Как заявил Диллон, многие специалисты по кибербезопасности уделили «пульсару» излишне пристальное внимание. Между тем, он вполне заменяем чем-то еще.
«DoublePulsar — это своего рода отвлекающий маневр специально для экспертов по безопасности, — заявил Диллон. — Мы доказали это, создав новый компонент, позволяющий напрямую загружать вредоносное ПО, без предварительной установки DoublePulsar. Так что те, кто хочет в будущем защититься от подобных атак, не стоит сосредотачивать внимание на DoublePulsar. Лучше заняться тем частями эксплойта [EternalBlue], которые можно идентифицировать и заблокировать».
Новым компонентом для EternalBlue стала асинхронная процедура вызова Windows, позволяющая запускать вредоносные компоненты из-под пользовательского режима процессорного доступа без использования бэкдора. Технические подробности реализации этого метода, а также описание технических методов защиты доступны по ссылке.
Эксперты RiskSense указывают, что наиболее действенным методом защиты все равно остается установка обновления от Microsoft, вышедшего в марте 2017 г.
— Произошло то, что и должно было произойти, — считает Ксения Шилак, директор по продажам компании SEC-Consult Рус. — Отрадно, что «портом» EternalBlue занимались легитимные специалисты по безопасности, а не криминальные хакеры. Теперь, по крайней мере, у потенциальных жертв есть информация о том, какие меры можно принять, чтобы защититься. Проблема в том, что эпидемия WannaCry хорошо показала, как часто пользователи и системные администраторы пренебрегают установкой даже критически необходимых обновлений.

Модуль в Metasploit
Эксперты RiskSense были среди первых, кто взялся пристально изучать EternalBlue и DoublePulsar. Уже через два дня после основной волны атак со стороны WannaCry они добавили в платформу Metasploit модуль, представляющий собой «усеченный» вариант EternalBlue, который также не нуждается в DoublePulsar. Благодаря отсутствию бэкдора, модуль генерирует меньше трафика, что позволяет обходить автоматические системы обнаружения вторжений, настроенные на EternalBlue и DoublePulsar.

Источник: cnews.ru