A White Hat hackerek a Wannacry exploit-ját Windows 10-re portolják. Kösz, azt hiszem?

Két Windows operációs rendszer volt nagyrészt immunis a közelmúltbeli Wannacry kibertámadásra. Az elsőt, a Windows XP-t nagyrészt megkímélték a Wannacry kód hibája, a második, a Windows 10 pedig fejlettebb védelemmel rendelkezik, mint a Windows 7, ezért nem lehetett megfertőzni.

Az Enter színpadon elhagyta a White Hat Hackers-et a RiskSense-től, akik elvégezték a szükséges munkát az EternalBlue exploit, a Wannacry gyökerében lévő NSA által létrehozott hack Windows 10-re történő áthelyezéséhez, és a feltörés alapján létrehoztak egy Metasploit modult.

Kifinomult moduljuk számos fejlesztést tartalmaz, csökkentett hálózati forgalommal és a DoublePulsar hátsó ajtó eltávolításával, ami szerintük szükségtelenül elvonja a biztonsági kutatók figyelmét.

„A DoublePulsar hátsó ajtó egyfajta vörös hering, amelyre a kutatók és a védők összpontosíthatnak” – mondta Sean Dillon vezető kutatási elemző. „Bemutattuk, hogy létrehoztunk egy új rakományt, amely közvetlenül képes betölteni a rosszindulatú programokat anélkül, hogy először telepíteni kellene a DoublePulsar hátsó ajtót. Tehát azoknak, akik a jövőben védekezni szeretnének ezekkel a támadásokkal szemben, nem szabad kizárólag a DoublePulsarra összpontosítaniuk. Koncentráljunk arra, hogy a kizsákmányolás mely részeit tudjuk észlelni és blokkolni.”

Közzétették kutatásuk eredményeit, de elmondták, hogy megnehezítették a Black Hat hackerek számára, hogy a nyomdokaiba lépjenek.

„Kihagytunk a kihasználási lánc bizonyos részleteit, amelyek csak a támadók számára lennének hasznosak, és nem annyira a védelem felépítéséhez” – jegyezte meg Dillon. „A kutatás a fehér kalapos információbiztonsági ipar számára készült, hogy növelje ezeknek a kihasználásoknak a megértését és tudatosságát, hogy új technikákat fejlesszenek ki, amelyek megakadályozzák ezt és a jövőbeni támadásokat. Ez segít a védőknek jobban megérteni a kizsákmányolási láncot, így a hasznos teher helyett a kizsákmányolásra építhetnek védelmet.”

A Windows 10 megfertőzéséhez a hackereknek ki kellett kerülniük az adatvégrehajtás-megelőzést (DEP) és az Address Space Layout Randomization (ASLR) funkciót a Windows 10 rendszerben, és új aszinkron eljáráshívás (APC) rakományt kellett telepíteniük, amely lehetővé teszi a felhasználói módú rakományok hátsó ajtó nélküli végrehajtását.

A hackerek azonban tele voltak csodálattal az eredeti NSA hackerek iránt, akik létrehozták az EternalBlue-t.

„Határozottan sok új utat törtek meg az exploittal. Amikor hozzáadtuk az eredeti kizsákmányolás célpontjait a Metasploithoz, sok kódot kellett hozzáadni a Metasploithoz, hogy az megfeleljen az x64-et megcélzó távoli kernel-exploit támogatásának” – mondta Dillon, hozzátéve, hogy az eredeti exploit az x86-ot is megcélozza, és ezt a bravúrt „majdnem csodásnak” nevezi.

„A Windows kernel elleni halom-spray támadásról beszél. A halompermetes támadások valószínűleg a kizsákmányolás egyik legezoterikusabb típusa, és ez a Windowsra vonatkozik, amelyhez nem áll rendelkezésre forráskód” – mondta Dillon. „Hasonló kupacspray végrehajtása Linuxon nehéz, de könnyebb ennél. Nagyon sok munka volt ebbe.”

A jó hír az, hogy a teljesen kijavított Windows 10, amelyen az MS17-010 is telepítve van, továbbra is teljesen védett, a feltörés pedig a Windows 10 x64 1511-es verzióját célozza, amely 2015 novemberében jelent meg, és a kódnevet Threshold 2. Megjegyzik azonban, hogy ez verzióját továbbra is támogatja a Windows Current Branch for Business.

A mai hírek rávilágítanak a kormányzati szervek által a Windows ellen végrehajtott támadások kifinomultságára, és ismételten annak fontosságára, hogy naprakészek maradjanak a kockázat lehető legnagyobb mértékű csökkentése érdekében.

A teljes RiskSense-jelentés, amely részletezi az új hacket itt olvasható (PDF.)