White Hat-hackers brengen Wannacry-exploit over naar Windows 10. Bedankt, denk ik?

Er waren twee Windows-besturingssystemen die grotendeels immuun waren voor de recente Wannacry-cyberaanval. De eerste, Windows XP, bleef grotendeels gespaard door een bug in de Wannacry-code, en de tweede, Windows 10, had een geavanceerdere verdediging dan Windows 7 en kon daarom niet worden geïnfecteerd.

Enter stage verlieten de White Hat Hackers van RiskSense, die het werk deden dat nodig was om de EternalBlue-exploit, de door de NSA gecreëerde hack aan de basis van Wannacry, over te zetten naar Windows 10, en een Metasploit-module op basis van de hack te maken.

Hun verfijnde module bevat verschillende verbeteringen, met minder netwerkverkeer en het verwijderen van de DoublePulsar-achterdeur, die volgens hen beveiligingsonderzoekers onnodig afleidde.

"De achterdeur van DoublePulsar is een soort rode haring voor onderzoekers en verdedigers om zich op te concentreren", zegt senior onderzoeksanalist Sean Dillon. “We hebben dat aangetoond door een nieuwe payload te creëren die malware direct kan laden zonder eerst de DoublePulsar-backdoor te hoeven installeren. Dus mensen die zich in de toekomst tegen deze aanvallen willen verdedigen, moeten zich niet alleen op DoublePulsar concentreren. Focus op welke delen van de exploit we kunnen detecteren en blokkeren.”

Ze publiceerden de resultaten van hun onderzoek, maar zeiden dat ze het Black Hat-hackers moeilijk maakten om in hun voetsporen te treden.

"We hebben bepaalde details van de exploitketen weggelaten die alleen nuttig zouden zijn voor aanvallers en niet zozeer voor het bouwen van verdedigingen", merkte Dillon op. “Het onderzoek is voor de white-hat informatiebeveiligingsindustrie om het begrip en bewustzijn van deze exploits te vergroten, zodat nieuwe technieken kunnen worden ontwikkeld die deze en toekomstige aanvallen voorkomen. Dit helpt verdedigers de exploitketen beter te begrijpen, zodat ze verdedigingen kunnen bouwen voor de exploit in plaats van de payload.”

Om Windows 10 te infecteren moesten de hackers Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) in Windows 10 omzeilen en een nieuwe Asynchronous Procedure Call (APC) payload installeren waarmee gebruikersmodus payloads kunnen worden uitgevoerd zonder de achterdeur.

De hackers waren echter vol bewondering voor de oorspronkelijke NSA-hackers die EternalBlue hebben gemaakt.

"Ze hebben zeker veel nieuwe wegen ingeslagen met de exploit. Toen we de doelen van de oorspronkelijke exploit aan Metasploit toevoegden, moest er veel code aan Metasploit worden toegevoegd om het op één lijn te krijgen met het ondersteunen van een externe kernel-exploit die x64 target,” zei Dillon, eraan toevoegend dat de originele exploit richt zich ook op x86 en noemt die prestatie "bijna wonderbaarlijk.

“Je hebt het over een heap-spray-aanval op de Windows-kernel. Heap spray-aanvallen zijn waarschijnlijk een van de meest esoterische vormen van uitbuiting en dit is voor Windows, dat geen broncode beschikbaar heeft,” zei Dillon. “Het uitvoeren van een soortgelijke heap spray op Linux is moeilijk, maar makkelijker dan dit. Hier is veel werk in gestoken.”

Het goede nieuws is dat de volledig gepatchte Windows 10, met MS17-010 geïnstalleerd, nog steeds volledig beschermd is, met de hack gericht op Windows 10 x64 versie 1511, die in november 2015 werd uitgebracht en de codenaam Threshold 2 droeg. Ze merken echter op dat dit versie van het besturingssysteem wordt nog steeds ondersteund door Windows Current Branch for Business.

Het nieuws van vandaag onderstreept de verfijning van de aanvallen die door overheidsinstanties op Windows worden uitgevoerd, en nogmaals het belang om up-to-date te blijven om het risico zoveel mogelijk te beperken.

Het volledige RiskSense-rapport met details over de nieuwe hack kunt u hier lezen (PDF.)