ホワイトハットハッカーは、WannacryエクスプロイトをWindows 10に移植します。ありがとう、私は推測しますか？

最近のWannacryサイバー攻撃の影響をほとんど受けない10つのWindowsオペレーティングシステムがありました。 最初のWindowsXPは、Wannacryコードのバグのために大幅に回避され、7番目のWindows XNUMXは、Windows XNUMXよりも高度な防御機能を備えていたため、感染することができませんでした。

ステージに入ると、WannacryのルートでNSAが作成したハックであるEternalBlueエクスプロイトをWindows 10に移植するために必要な作業を行い、ハックに基づいてMetasploitモジュールを作成したRiskSenseのWhite HatHackersが去りました。

彼らの洗練されたモジュールは、ネットワークトラフィックの削減と、セキュリティ研究者の気を散らすものであると彼らが感じたDoublePulsarバックドアの削除など、いくつかの改善を特徴としています。

「DoublePulsarバックドアは、研究者や防御者が注目するための一種の赤いニシンです」と、上級研究アナリストのショーン・ディロンは述べています。 「最初にDoublePulsarバックドアをインストールしなくても、マルウェアを直接ロードできる新しいペイロードを作成することで実証しました。 したがって、将来これらの攻撃から防御しようとしている人々は、DoublePulsarだけに焦点を当てるべきではありません。 エクスプロイトのどの部分を検出してブロックできるかに焦点を当ててください。」

彼らは調査結果を公開しましたが、ブラックハットのハッカーが彼らの足跡をたどることを困難にしたと述べました。

「攻撃者にのみ有用であり、防御を構築するのにそれほど有用ではないエクスプロイトチェーンの特定の詳細を省略しました」とDillon氏は述べています。 「この調査は、これらのエクスプロイトの理解と認識を高め、この攻撃と将来の攻撃を防ぐ新しい技術を開発できるようにするための、ホワイトハット情報セキュリティ業界を対象としています。 これにより、防御側はエクスプロイトチェーンをよりよく理解できるため、ペイロードではなくエクスプロイトに対する防御を構築できます。」

Windows 10に感染するには、ハッカーはWindows 10のデータ実行防止（DEP）とアドレス空間配置のランダム化（ASLR）をバイパスし、ユーザーモードのペイロードをバックドアなしで実行できる新しい非同期プロシージャコール（APC）ペイロードをインストールする必要がありました。

しかし、ハッカーは、EternalBlueを作成した元のNSAハッカーに対する賞賛に満ちていました。

「彼らは間違いなく、このエクスプロイトで多くの新境地を開拓しました。 元のエクスプロイトのターゲットをMetasploitに追加したとき、x64をターゲットとするリモートカーネルエクスプロイトをサポートできるようにするために、Metasploitに追加する必要のあるコードがたくさんありました」とDillon氏は付け加えました。元のエクスプロイトはx86もターゲットにしており、その偉業を「ほぼ奇跡的」と呼んでいます。

「あなたはWindowsカーネルへのヒープスプレー攻撃について話している。 ヒープスプレー攻撃は、おそらく最も難解なタイプの悪用のXNUMXつであり、これは、ソースコードが利用できないWindows用です」とDillon氏は述べています。 「Linuxで同様のヒープスプレーを実行することは困難ですが、これよりも簡単です。 これには多くの作業が行われました。」

幸いなことに、MS10-17がインストールされた完全にパッチが適用されたWindows 010はまだ完全に保護されており、10年64月にリリースされコードネームがしきい値1511であるWindows 2015x2バージョンXNUMXを対象としたハッキン​​グが行われています。 OSのバージョンは、Windows Current Branch forBusinessで引き続きサポートされています。

今日のニュースは、政府機関によるWindowsに対する攻撃の巧妙さを強調しており、リスクを可能な限り軽減するために最新の状態を維持することの重要性を改めて強調しています。

新しいハックの詳細を示す完全なRiskSenseレポート ここで読むことができます（PDF）。