White-Hat-Hacker portieren den Wannacry-Exploit auf Windows 10. Danke, schätze ich?

Es gab zwei Windows-Betriebssysteme, die weitgehend immun gegen den jüngsten Wannacry-Cyberangriff waren. Das erste, Windows XP, blieb aufgrund eines Fehlers im Wannacry-Code weitgehend verschont, und das zweite, Windows 10, verfügte über fortschrittlichere Abwehrmechanismen als Windows 7 und konnte daher nicht infiziert werden.

Enter Stage ließ die White-Hat-Hacker von RiskSense zurück, die die erforderliche Arbeit leisteten, um den EternalBlue-Exploit, den von der NSA erstellten Hack an der Wurzel von Wannacry, auf Windows 10 zu portieren, und ein auf dem Hack basierendes Metasploit-Modul erstellten.

Ihr verfeinertes Modul weist mehrere Verbesserungen auf, darunter reduzierter Netzwerkverkehr und die Entfernung der DoublePulsar-Hintertür, die ihrer Meinung nach Sicherheitsforscher unnötig ablenkt.

„Die DoublePulsar-Hintertür ist eine Art Ablenkungsmanöver, auf das sich Forscher und Verteidiger konzentrieren können“, sagte Senior Research Analyst Sean Dillon. „Wir haben dies demonstriert, indem wir eine neue Nutzlast erstellt haben, die Malware direkt laden kann, ohne zuerst die DoublePulsar-Hintertür installieren zu müssen. Wer sich also in Zukunft gegen diese Angriffe wehren will, sollte sich nicht nur auf DoublePulsar konzentrieren. Konzentrieren Sie sich darauf, welche Teile des Exploits wir erkennen und blockieren können.“

Sie veröffentlichten die Ergebnisse ihrer Forschung, sagten aber, dass sie es Black-Hat-Hackern erschwerten, in ihre Fußstapfen zu treten.

„Wir haben bestimmte Details der Exploit-Kette ausgelassen, die nur für Angreifer und nicht so sehr für den Aufbau von Abwehrmaßnahmen nützlich wären“, bemerkte Dillon. „Die Forschung dient der White-Hat-Informationssicherheitsbranche, um das Verständnis und das Bewusstsein für diese Exploits zu erhöhen, damit neue Techniken entwickelt werden können, die diese und zukünftige Angriffe verhindern. Dies hilft den Verteidigern, die Exploit-Kette besser zu verstehen, sodass sie Abwehrmaßnahmen gegen den Exploit und nicht gegen die Nutzlast aufbauen können.“

Um Windows 10 zu infizieren, mussten die Hacker Data Execution Prevention (DEP) und Address Space Layout Randomization (ASLR) in Windows 10 umgehen und eine neue Asynchronous Procedure Call (APC)-Nutzlast installieren, die es ermöglicht, Nutzlasten im Benutzermodus ohne die Hintertür auszuführen.

Die Hacker waren jedoch voller Bewunderung für die ursprünglichen NSA-Hacker, die EternalBlue geschaffen haben.

„Sie haben mit dem Exploit definitiv eine Menge Neuland betreten. Als wir die Ziele des ursprünglichen Exploits zu Metasploit hinzufügten, musste eine Menge Code zu Metasploit hinzugefügt werden, um es auf den Stand zu bringen, einen Remote-Kernel-Exploit zu unterstützen, der auf x64 abzielt“, sagte Dillon und fügte hinzu Der ursprüngliche Exploit zielt auch auf x86 ab und bezeichnet diese Leistung als „fast wunderbar“.

„Sie sprechen von einem Heap-Spray-Angriff auf den Windows-Kernel. Heap-Spray-Angriffe sind wahrscheinlich eine der esoterischsten Arten der Ausbeutung, und dies gilt für Windows, für das kein Quellcode verfügbar ist“, sagte Dillon. „Ein ähnliches Heap-Spray unter Linux durchzuführen ist schwierig, aber einfacher. Da steckt viel Arbeit drin.“

Die gute Nachricht ist, dass vollständig gepatchtes Windows 10 mit installiertem MS17-010 immer noch vollständig geschützt ist, wobei der Hack auf Windows 10 x64 Version 1511 abzielt, das im November 2015 veröffentlicht wurde und den Codenamen Threshold 2 trug. Sie stellen jedoch fest, dass dies der Fall ist Version des Betriebssystems wird weiterhin von Windows Current Branch for Business unterstützt.

Die heutigen Nachrichten unterstreichen die Raffinesse der Angriffe von Regierungsbehörden auf Windows und einmal mehr, wie wichtig es ist, auf dem Laufenden zu bleiben, um das Risiko so weit wie möglich zu mindern.

Der vollständige RiskSense-Bericht mit Details zum neuen Hack kann hier nachgelesen werden (PDF.)