White Hat hackeři portují exploit Wannacry na Windows 10. Díky, myslím?

Existovaly dva operační systémy Windows, které byly do značné míry imunní vůči nedávnému kybernetickému útoku Wannacry. První, Windows XP, byl z velké části ušetřen kvůli chybě v kódu Wannacry a druhý, Windows 10, měl pokročilejší obranu než Windows 7, a proto nemohl být infikován.

Enter stage opustil White Hat Hackers z RiskSense, kteří provedli práci potřebnou k portování exploitu EternalBlue, hacku vytvořeného NSA v kořenovém adresáři Wannacry, do Windows 10 a vytvořili modul Metasploit založený na hacku.

Jejich vylepšený modul obsahuje několik vylepšení, se sníženým síťovým provozem a odstraněním zadních vrátek DoublePulsar, které podle nich zbytečně rozptylovaly bezpečnostní výzkumníky.

"DoublePulsar backdoor je druh červeného sledě, na který se výzkumníci a obránci mohou zaměřit," řekl senior výzkumný analytik Sean Dillon. „Ukázali jsme to vytvořením nového užitečného zatížení, které dokáže načíst malware přímo, aniž by bylo nutné nejprve instalovat zadní vrátka DoublePulsar. Lidé, kteří se chtějí v budoucnu těmto útokům bránit, by se tedy neměli soustředit pouze na DoublePulsar. Zaměřte se na to, jaké části exploitu dokážeme detekovat a zablokovat.“

Zveřejnili výsledky svého výzkumu, ale řekli, že znesnadnili Black Hat hackerům jít v jejich stopách.

"Vynechali jsme určité detaily řetězce exploitů, které by byly užitečné pouze pro útočníky a ne tolik pro budování obrany," poznamenal Dillon. „Výzkum je určen pro průmysl informační bezpečnosti s bílým kloboukem s cílem zvýšit porozumění a povědomí o těchto zneužitích, aby bylo možné vyvinout nové techniky, které zabrání tomuto i budoucím útokům. To pomáhá obráncům lépe porozumět řetězu exploitů, takže mohou vytvářet obranu pro exploit spíše než pro užitečné zatížení.

Aby hackeři infikovali Windows 10, museli obejít Data Execution Prevention (DEP) a Address Space Layout Randomization (ASLR) ve Windows 10 a nainstalovat novou datovou část Asynchronous Procedure Call (APC), která umožňuje spouštění dat v uživatelském režimu bez zadních vrátek.

Hackeři však byli plní obdivu k původním hackerům NSA, kteří vytvořili EternalBlue.

"Určitě prolomili spoustu nových věcí s exploitem." Když jsme do Metasploitu přidali cíle původního exploitu, bylo potřeba přidat do Metasploitu spoustu kódu, aby se dostal na úroveň podpory vzdáleného zneužití jádra, které cílí na x64,“ řekl Dillon a dodal, že původní exploit se zaměřuje také na x86 a nazývá tento čin „téměř zázračným.

"Mluvíš o útoku heap-spray na jádro Windows." Heap spray útoky jsou pravděpodobně jedním z nejesoteričtějších typů zneužívání, a to pro Windows, který nemá k dispozici zdrojový kód,“ řekl Dillon. „Provedení podobného haldového spreje na Linuxu je obtížné, ale jednodušší než toto. Dalo se do toho hodně práce."

Dobrou zprávou je, že plně opravený Windows 10 s nainstalovaným MS17-010 je stále plně chráněn, s hackem zaměřeným na Windows 10 x64 verze 1511, který byl vydán v listopadu 2015 a dostal kódové označení Threshold 2. Upozorňují však, že toto verze operačního systému je stále podporována Windows Current Branch for Business.

Dnešní zprávy zdůrazňují sofistikovanost útoků prováděných vládními agenturami na Windows a znovu důležitost toho, aby byly stále aktuální, aby se riziko co nejvíce zmírnilo.

Úplná zpráva RiskSense s podrobnostmi o novém hacku si můžete přečíst zde (PDF.)