White Hat 해커가 Wannacry 익스플로잇을 Windows 10으로 이식했습니다. 감사합니다.

최근 Wannacry 사이버 공격에 크게 영향을 받지 않는 두 가지 Windows 운영 체제가 있습니다. 첫 번째인 Windows XP는 Wannacry 코드의 버그로 인해 크게 살아남았고 두 번째인 Windows 10은 Windows 7보다 방어력이 높아 감염되지 않았습니다.

진입 단계는 Wannacry의 루트에서 NSA가 만든 해킹인 EternalBlue 익스플로잇을 Windows 10으로 이식하는 데 필요한 작업을 수행하고 해당 해킹을 기반으로 Metasploit 모듈을 만든 RiskSense의 White Hat Hackers를 남겼습니다.

그들의 세련된 모듈은 네트워크 트래픽 감소와 DoublePulsar 백도어 제거와 같은 몇 가지 개선 사항을 특징으로 합니다.

수석 연구 분석가인 Sean Dillon은 “DoublePulsar 백도어는 연구원과 방어자가 집중해야 할 일종의 적청어입니다. “우리는 DoublePulsar 백도어를 먼저 설치할 필요 없이 맬웨어를 직접 로드할 수 있는 새로운 페이로드를 생성하여 시연했습니다. 따라서 미래에 이러한 공격을 방어하려는 사람들은 DoublePulsar에만 집중해서는 안 됩니다. 우리가 탐지하고 차단할 수 있는 익스플로잇 부분에 집중하세요.”

그들은 연구 결과를 발표했지만 Black Hat 해커가 그들의 발자취를 따라가는 것을 어렵게 만들었다고 말했습니다.

Dillon은 "공격자에게만 유용하고 방어 구축에는 그다지 유용하지 않은 익스플로잇 체인의 특정 세부 사항을 생략했습니다."라고 말했습니다. “이 연구는 화이트 햇 정보 보안 업계를 위한 것으로 이러한 공격에 대한 이해와 인식을 높여 이 공격과 미래의 공격을 방지하는 새로운 기술을 개발할 수 있습니다. 이를 통해 방어자는 공격 사슬을 더 잘 이해하여 페이로드가 아닌 공격에 대한 방어를 구축할 수 있습니다.”

Windows 10을 감염시키기 위해 해커는 Windows 10의 DEP(Data Execution Prevention) 및 ASLR(Address Space Layout Randomization)을 우회하고 백도어 없이 사용자 모드 페이로드를 실행할 수 있는 새로운 APC(Asynchronous Procedure Call) 페이로드를 설치해야 했습니다.

그러나 해커들은 EternalBlue를 만든 최초의 NSA 해커에 감탄했습니다.

“그들은 익스플로잇으로 많은 새로운 지평을 열었습니다. 원래 익스플로잇의 대상을 Metasploit에 추가했을 때 x64를 대상으로 하는 원격 커널 익스플로잇을 지원할 수 있도록 하기 위해 Metasploit에 많은 코드를 추가해야 했습니다.”라고 Dillon은 말했습니다. 원래의 익스플로잇은 x86도 목표로 삼아 그 위업을 "거의 기적적입니다.

“당신은 Windows 커널에 대한 힙 스프레이 공격에 대해 이야기하고 있습니다. 힙 스프레이 공격은 아마도 가장 난해한 공격 유형 중 하나일 것입니다. 이것은 소스 코드를 사용할 수 없는 Windows용입니다.”라고 Dillon은 말했습니다. “Linux에서 유사한 힙 스프레이를 수행하는 것은 어렵지만 이것보다 쉽습니다. 이를 위해 많은 노력을 기울였습니다.”

좋은 소식은 MS10-17이 설치된 완전히 패치된 Windows 010이 10년 64월에 출시되고 코드명 Threshold 1511인 Windows 2015 x2 버전 XNUMX을 대상으로 하는 해킹으로 여전히 완전히 보호된다는 것입니다. OS 버전은 비즈니스용 Windows 현재 분기에서 계속 지원됩니다.

오늘의 뉴스는 정부 기관이 Windows에 대해 수행하는 공격의 정교함과 위험을 최대한 완화하기 위해 최신 정보를 유지하는 것이 중요함을 다시 한 번 강조합니다.

새로운 해킹을 자세히 설명하는 전체 RiskSense 보고서 여기에서 읽을 수 있습니다(PDF).