White Hat hackers port Wannacry exploit στα Windows 10. Ευχαριστώ, υποθέτω;

Υπήρχαν δύο λειτουργικά συστήματα Windows σε μεγάλο βαθμό απρόσβλητα στην πρόσφατη επίθεση στον κυβερνοχώρο Wannacry. Το πρώτο, τα Windows XP, εξοικονομήθηκαν σε μεγάλο βαθμό λόγω ενός σφάλματος στον κώδικα Wannacry και το δεύτερο, τα Windows 10, είχαν πιο προηγμένες άμυνες από τα Windows 7 και επομένως δεν μπορούσαν να μολυνθούν.

Η είσοδος στο στάδιο άφησε τους White Hat Hackers από το RiskSense, ο οποίος έκανε τη δουλειά που χρειαζόταν για να μεταφέρει το EternalBlue exploit, το hack που δημιουργήθηκε από την NSA στη ρίζα του Wannacry, στα Windows 10 και δημιούργησε μια μονάδα Metasploit βασισμένη στο hack.

Η εκλεπτυσμένη μονάδα τους διαθέτει αρκετές βελτιώσεις, με μειωμένη κίνηση δικτύου και την αφαίρεση της πίσω πόρτας του DoublePulsar, κάτι που θεώρησαν ότι αποσπούσε άσκοπα την προσοχή των ερευνητών ασφαλείας.

«Η κερκόπορτα του DoublePulsar είναι μια κόκκινη ρέγγα στην οποία πρέπει να επικεντρωθούν οι ερευνητές και οι υπερασπιστές», δήλωσε ο ανώτερος ερευνητικός αναλυτής Sean Dillon. «Δείξαμε ότι δημιουργώντας ένα νέο ωφέλιμο φορτίο που μπορεί να φορτώσει απευθείας κακόβουλο λογισμικό χωρίς να χρειάζεται πρώτα να εγκαταστήσετε το backdoor του DoublePulsar. Έτσι, όσοι θέλουν να αμυνθούν από αυτές τις επιθέσεις στο μέλλον δεν θα πρέπει να επικεντρώνονται αποκλειστικά στο DoublePulsar. Εστιάστε σε ποια μέρη του exploit μπορούμε να εντοπίσουμε και να αποκλείσουμε.”

Δημοσίευσαν τα αποτελέσματα της έρευνάς τους, αλλά είπαν ότι έκαναν δύσκολο για τους χάκερ του Black Hat να ακολουθήσουν τα βήματά τους.

"Έχουμε παραλείψει ορισμένες λεπτομέρειες της αλυσίδας εκμετάλλευσης που θα ήταν χρήσιμες μόνο για τους επιτιθέμενους και όχι τόσο για την οικοδόμηση άμυνας", σημείωσε ο Dillon. «Η έρευνα είναι για τη βιομηχανία ασφάλειας πληροφοριών με λευκό καπέλο, προκειμένου να αυξηθεί η κατανόηση και η ευαισθητοποίηση αυτών των εκμεταλλεύσεων, ώστε να αναπτυχθούν νέες τεχνικές που αποτρέπουν αυτήν και μελλοντικές επιθέσεις. Αυτό βοηθά τους αμυνόμενους να κατανοήσουν καλύτερα την αλυσίδα εκμετάλλευσης, ώστε να μπορούν να δημιουργήσουν άμυνες για το exploit και όχι για το ωφέλιμο φορτίο."

Για να μολύνουν τα Windows 10, οι χάκερ έπρεπε να παρακάμψουν το Data Execution Prevention (DEP) και το Address Space Layout Randomization (ASLR) στα Windows 10 και να εγκαταστήσουν ένα νέο ωφέλιμο φορτίο Asynchronous Procedure Call (APC) που επιτρέπει την εκτέλεση ωφέλιμων φορτίων σε λειτουργία χρήστη χωρίς την κερκόπορτα.

Ωστόσο, οι χάκερ ήταν γεμάτοι θαυμασμό για τους αρχικούς χάκερ της NSA που δημιούργησαν το EternalBlue.

«Σίγουρα άνοιξαν πολλούς νέους δρόμους με το κατόρθωμα. Όταν προσθέσαμε τους στόχους του αρχικού exploit στο Metasploit, υπήρχε πολύς κώδικας που έπρεπε να προστεθεί στο Metasploit για να μπορέσει να υποστηρίξει έναν απομακρυσμένο πυρήνα που στοχεύει το x64», είπε ο Dillon, προσθέτοντας ότι το αρχικό exploit στοχεύει επίσης το x86, αποκαλώντας αυτό το κατόρθωμα «σχεδόν θαυματουργό.

«Μιλάτε για επίθεση με σπρέι σωρού στον πυρήνα των Windows. Οι επιθέσεις με σπρέι σωρού είναι πιθανώς ένας από τους πιο εσωτερικούς τύπους εκμετάλλευσης και αυτό είναι για τα Windows, τα οποία δεν έχουν διαθέσιμο πηγαίο κώδικα», είπε ο Dillon. «Η εκτέλεση ενός παρόμοιου spray σωρού στο Linux είναι δύσκολη, αλλά πιο εύκολη από αυτό. Έγινε πολλή δουλειά σε αυτό».

Τα καλά νέα είναι ότι τα πλήρως επιδιορθωμένα Windows 10, με εγκατεστημένο το MS17-010, είναι ακόμα πλήρως προστατευμένα, με το hack να στοχεύει τα Windows 10 x64 έκδοση 1511, η οποία κυκλοφόρησε τον Νοέμβριο του 2015 και είχε την κωδική ονομασία Threshold 2. Σημειώνουν ωστόσο ότι αυτό Η έκδοση του λειτουργικού συστήματος εξακολουθεί να υποστηρίζεται από το Windows Current Branch for Business.

Τα σημερινά νέα υπογραμμίζουν την πολυπλοκότητα των επιθέσεων που γίνονται στα Windows από κυβερνητικές υπηρεσίες και για άλλη μια φορά τη σημασία της παραμονής ενημερωμένοι για να μετριαστεί ο κίνδυνος όσο το δυνατόν περισσότερο.

Η πλήρης αναφορά RiskSense που περιγράφει λεπτομερώς το νέο hack μπορείτε να διαβάσετε εδώ (PDF.)