White Hat-hackere overfører Wannacry-utnyttelse til Windows 10. Takk, antar jeg?

Det var to Windows-operativsystemer som stort sett var immune mot det nylige Wannacry-cyberangrepet. Den første, Windows XP, ble i stor grad spart på grunn av en feil i Wannacry-koden, og den andre, Windows 10, hadde mer avansert forsvar enn Windows 7 og kunne derfor ikke infiseres.

Enter stage forlot White Hat Hackers fra RiskSense, som gjorde jobben som var nødvendig for å portere EternalBlue-utnyttelsen, det NSA-skapte hacket ved roten av Wannacry, til Windows 10, og laget en Metasploit-modul basert på hacket.

Deres raffinerte modul har flere forbedringer, med redusert nettverkstrafikk og fjerning av DoublePulsar-bakdøren, som de mente distraherte sikkerhetsforskere unødvendig.

"DoublePulsar-bakdøren er en slags rød sild for forskere og forsvarere å fokusere på," sa senioranalytiker Sean Dillon. "Vi demonstrerte det ved å lage en ny nyttelast som kan laste skadevare direkte uten først å måtte installere DoublePulsar-bakdøren. Så folk som ønsker å forsvare seg mot disse angrepene i fremtiden bør ikke fokusere utelukkende på DoublePulsar. Fokuser på hvilke deler av utnyttelsen vi kan oppdage og blokkere."

De publiserte resultatene av forskningen deres, men sa at de gjorde det vanskelig for Black Hat-hackere å følge i deres fotspor.

"Vi har utelatt visse detaljer om utnyttelseskjeden som bare vil være nyttige for angripere og ikke så mye for å bygge forsvar," bemerket Dillon. – Forskningen er for informasjonssikkerhetsindustrien med hvite hatter for å øke forståelsen og bevisstheten om disse utnyttelsene, slik at nye teknikker kan utvikles som forhindrer dette og fremtidige angrep. Dette hjelper forsvarere bedre å forstå utnyttelseskjeden slik at de kan bygge forsvar for utnyttelsen i stedet for nyttelasten."

For å infisere Windows 10 måtte hackerne omgå Data Execution Prevention (DEP) og Address Space Layout Randomization (ASLR) i Windows 10 og installere en ny Asynchronous Procedure Call (APC) nyttelast som gjør at nyttelaster i brukermodus kan utføres uten bakdøren.

Hackerne var imidlertid fulle av beundring for de originale NSA-hackerne som skapte EternalBlue.

"De brøt definitivt mye nytt med utnyttelsen. Da vi la til målene for den originale utnyttelsen til Metasploit, var det mye kode som måtte legges til Metasploit for å få det opp på nivå med å kunne støtte en ekstern kjerneutnyttelse som retter seg mot x64,» sa Dillon og la til at den originale utnyttelsen måler også x86, og kaller den bragden "nesten mirakuløs.

«Du snakker om et heap-spray-angrep på Windows-kjernen. Heap spray-angrep er sannsynligvis en av de mest esoteriske typene utnyttelse, og dette er for Windows, som ikke har kildekode tilgjengelig, sa Dillon. "Å utføre en lignende heap spray på Linux er vanskelig, men enklere enn dette. Mye arbeid ble lagt ned i dette.»

Den gode nyheten er at fullt oppdatert Windows 10, med MS17-010 installert, fortsatt er fullt beskyttet, med hacket rettet mot Windows 10 x64 versjon 1511, som ble utgitt i november 2015 og fikk kodenavnet Threshold 2. De bemerker imidlertid at dette versjonen av operativsystemet støttes fortsatt av Windows Current Branch for Business.

Dagens nyheter understreker det sofistikerte ved angrepene som gjøres på Windows av offentlige etater, og nok en gang viktigheten av å holde seg oppdatert for å redusere risikoen så mye som mulig.

Den fullstendige RiskSense-rapporten som beskriver det nye hacket kan leses her (PDF.)