White Hat hakkeriportti Wannacry-hyödynnä Windows 10:een. Kiitos, kai?

Kaksi Windows-käyttöjärjestelmää oli pitkälti immuuneja äskettäiselle Wannacry-verkkohyökkäykselle. Ensimmäinen, Windows XP, säästyi suurelta osin Wannacry-koodin virheen vuoksi, ja toisessa, Windows 10:ssä, oli kehittyneempi suojaus kuin Windows 7:ssä, eikä se siksi voinut saada tartuntaa.

Enter vaiheessa jätti White Hat Hackers RiskSense, joka teki tarvittavan työn siirtääkseen EternalBlue-hyödyntämisen, NSA:n luoman hakkeroinnin Wannacryn juuressa, Windows 10:een ja loi hakkerointiin perustuvan Metasploit-moduulin.

Heidän hienostuneessa moduulissaan on useita parannuksia, kuten verkkoliikenteen väheneminen ja DoublePulsar-takaoven poistaminen, mikä heidän mielestään häiritsi tietoturvatutkijoita tarpeettomasti.

"DoublePulsar-takaovi on eräänlainen punainen silakka, johon tutkijat ja puolustajat voivat keskittyä", sanoi vanhempi tutkimusanalyytikko Sean Dillon. "Osoitimme tämän luomalla uuden hyötykuorman, joka voi ladata haittaohjelmia suoraan ilman, että sinun tarvitsee ensin asentaa DoublePulsar-takaovea. Joten ihmisten, jotka haluavat puolustautua näitä hyökkäyksiä vastaan ​​tulevaisuudessa, ei pitäisi keskittyä pelkästään DoublePulsariin. Keskity siihen, mitä osia hyväksikäytöstä voimme havaita ja estää."

He julkaisivat tutkimuksensa tulokset, mutta sanoivat, että he vaikeuttivat Black Hat -hakkereiden seuraamista heidän jalanjälkiään.

"Olemme jättäneet pois tiettyjä yksityiskohtia hyväksikäyttöketjusta, jotka olisivat hyödyllisiä vain hyökkääjille eivätkä niinkään puolustuksen rakentamiseen", Dillon huomautti. "Tutkimus on tarkoitettu valkohattuiselle tietoturvateollisuudelle, jotta voidaan lisätä ymmärrystä ja tietoisuutta näistä hyväksikäytöistä, jotta voidaan kehittää uusia tekniikoita tämän ja tulevien hyökkäysten estämiseksi. Tämä auttaa puolustajia ymmärtämään paremmin hyväksikäyttöketjua, jotta he voivat rakentaa puolustusta hyväksikäytölle hyötykuorman sijaan."

Tartuntaakseen Windows 10:n hakkerit joutuivat ohittamaan Data Execution Prevention (DEP) ja Address Space Layout Randomization (ASLR) Windows 10:ssä ja asentamaan uuden Asynchronous Procedure Call (APC) -hyötykuorman, joka mahdollistaa käyttäjätilan hyötykuormien suorittamisen ilman takaovea.

Hakkerit olivat kuitenkin täynnä ihailua alkuperäisiä NSA-hakkereita kohtaan, jotka loivat EternalBluen.

"He loukkasivat ehdottomasti paljon uutta tietä hyväksikäytön myötä. Kun lisäsimme alkuperäisen hyödynnyksen kohteet Metasploitiin, Metasploitiin piti lisätä paljon koodia, jotta se saisi sen tasolle sen kanssa, että se pystyy tukemaan x64:een kohdistuvaa etäytimen hyväksikäyttöä", Dillon sanoi ja lisäsi, että alkuperäinen hyväksikäyttö kohdistuu myös x86:een, kutsuen sitä "melkein ihmeellisenä".

"Puhut kasa-spray-hyökkäyksestä Windows-ytimeen. Kasaspray-hyökkäykset ovat luultavasti yksi esoteerisimmista hyväksikäytön tyypeistä, ja tämä koskee Windowsia, jolla ei ole lähdekoodia saatavilla”, Dillon sanoi. "Samanlaisen kasasuihkeen suorittaminen Linuxissa on vaikeaa, mutta helpompaa kuin tämä. Tämän eteen tehtiin paljon työtä."

Hyvä uutinen on, että täysin korjattu Windows 10, johon on asennettu MS17-010, on edelleen täysin suojattu, ja hakkerointi kohdistuu Windows 10 x64 -versioon 1511, joka julkaistiin marraskuussa 2015 ja jonka koodinimi oli Threshold 2. He huomauttavat kuitenkin, että tämä Windows Current Branch for Business tukee edelleen käyttöjärjestelmän versiota.

Tämän päivän uutiset korostavat valtion virastojen Windowsiin tekemien hyökkäysten kehittyneisyyttä ja jälleen kerran ajan tasalla pysymisen tärkeyttä riskin vähentämiseksi mahdollisimman paljon.

Täysi RiskSense-raportti, jossa kerrotaan uudesta hakkeroinnista voit lukea täältä (PDF.)