هکرهای کلاه سفید اکسپلویت Wannacry را به ویندوز 10 درگاه میکنند. حدس میزنم متشکرم؟
3 دقیقه خواندن
به روز شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
دو سیستم عامل ویندوز وجود داشت که تا حد زیادی از حمله سایبری اخیر Wannacry مصون بودند. اولی، ویندوز XP، به دلیل اشکال در کد Wannacry تا حد زیادی در امان ماند، و دومی، ویندوز 10، از دفاع پیشرفتهتری نسبت به ویندوز 7 برخوردار بود و بنابراین نمیتوان آن را آلوده کرد.
وارد مرحله شوید، هکرهای کلاه سفید را از RiskSense، که کار مورد نیاز برای پورت اکسپلویت EternalBlue، هک ایجاد شده توسط NSA در ریشه Wannacry، را به ویندوز 10 انجام دادند و یک ماژول Metasploit بر اساس هک ایجاد کردند.
ماژول اصلاح شده آنها دارای چندین پیشرفت است، با کاهش ترافیک شبکه و حذف درب پشتی DoublePulsar، که به نظر آنها بی جهت حواس محققان امنیتی را پرت می کند.
شان دیلون، تحلیلگر ارشد تحقیقاتی، گفت: «درپشتی DoublePulsar نوعی شاه ماهی قرمز است که محققان و مدافعان باید روی آن تمرکز کنند. ما نشان دادیم که با ایجاد یک محموله جدید که میتواند بدافزار را مستقیماً بدون نیاز به نصب درپشتی DoublePulsar بارگیری کند. بنابراین افرادی که به دنبال دفاع در برابر این حملات در آینده هستند، نباید تنها روی DoublePulsar تمرکز کنند. روی بخشهایی از اکسپلویت تمرکز کنید که میتوانیم شناسایی و مسدود کنیم.»
آنها نتایج تحقیقات خود را منتشر کردند اما گفتند که کار را برای هکرهای کلاه سیاه سخت کرده اند تا راه آنها را دنبال کنند.
دیلون خاطرنشان کرد: «ما جزئیات خاصی از زنجیره اکسپلویت را حذف کردهایم که فقط برای مهاجمان مفید است و نه برای ایجاد دفاع. "تحقیق برای صنعت امنیت اطلاعات کلاه سفید به منظور افزایش درک و آگاهی از این سوء استفاده ها است تا بتوان تکنیک های جدیدی را توسعه داد که از این حملات و حملات آتی جلوگیری می کند." این به مدافعان کمک می کند تا زنجیره اکسپلویت را بهتر درک کنند تا بتوانند به جای محموله، دفاعی برای اکسپلویت بسازند.
برای آلوده کردن ویندوز 10، هکرها مجبور بودند از «پیشگیری از اجرای داده» (DEP) و «تصادفیسازی طرحبندی فضای آدرس» (ASLR) در ویندوز 10 عبور کنند و یک بارگیری جدید با روش ناهمزمان (APC) نصب کنند که به بارهای حالت کاربر اجازه میدهد بدون درب پشتی اجرا شوند.
با این حال، هکرها برای هکرهای اصلی NSA که EternalBlue را ایجاد کردند، تحسین کردند.
«آنها قطعاً با این اکسپلویت، زمینه های جدیدی را ایجاد کردند. زمانی که ما اهداف اکسپلویت اصلی را به Metasploit اضافه کردیم، کدهای زیادی وجود داشت که باید به Metasploit اضافه میشد تا بتوان آن را با توانایی پشتیبانی از یک اکسپلویت هسته راه دور که x64 را هدف قرار میدهد، به آن اضافه کرد.» اکسپلویت اصلی x86 را نیز هدف قرار می دهد و آن را «تقریباً معجزه آسا» می نامد.
شما در مورد حمله اسپری هیپ به هسته ویندوز صحبت می کنید. دیلون گفت: حملات اسپری هیپ احتمالاً یکی از باطنی ترین انواع سوء استفاده است و این برای ویندوز است که کد منبع در دسترس ندارد. انجام یک اسپری هیپ مشابه در لینوکس دشوار است، اما ساده تر از این. برای این کار خیلی کار شد.»
خبر خوب این است که ویندوز 10 به طور کامل وصله شده با MS17-010 نصب شده، همچنان کاملاً محافظت می شود، با هدف هک ویندوز 10 x64 نسخه 1511، که در نوامبر 2015 منتشر شد و با نام رمز آستانه 2 بود. با این حال، آنها خاطرنشان می کنند که این نسخه سیستم عامل هنوز توسط Windows Current Branch for Business پشتیبانی می شود.
اخبار امروز بر پیچیده بودن حملاتی که توسط سازمان های دولتی به ویندوز انجام می شود و بار دیگر بر اهمیت به روز ماندن برای کاهش خطر تا حد امکان تأکید می کند.
گزارش کامل RiskSense با جزئیات هک جدید را می توانید در اینجا بخوانید (PDF.)