Хакеры White Hat портируют эксплойт Wannacry на Windows 10. Спасибо, наверное?

Были две операционные системы Windows, в значительной степени невосприимчивые к недавней кибератаке Wannacry. Первая, Windows XP, была в значительной степени избавлена ​​из-за ошибки в коде Wannacry, а вторая, Windows 10, имела более совершенную защиту, чем Windows 7, и поэтому не могла быть заражена.

На этапе выхода на сцену вышли хакеры White Hat из RiskSense, которые выполнили работу, необходимую для переноса эксплойта EternalBlue, созданного АНБ хака в корне Wannacry, на Windows 10 и создали модуль Metasploit на основе хака.

Их усовершенствованный модуль содержит несколько улучшений, включая уменьшение сетевого трафика и удаление лазейки DoublePulsar, которая, по их мнению, излишне отвлекала исследователей безопасности.

«Бэкдор DoublePulsar — ​​это своего рода отвлекающий маневр для исследователей и защитников, — сказал старший аналитик Шон Диллон. «Мы продемонстрировали это, создав новую полезную нагрузку, которая может напрямую загружать вредоносное ПО без предварительной установки бэкдора DoublePulsar. Таким образом, люди, которые хотят защититься от этих атак в будущем, не должны сосредотачиваться исключительно на DoublePulsar. Сосредоточьтесь на том, какие части эксплойта мы можем обнаружить и заблокировать».

Они опубликовали результаты своего исследования, но заявили, что хакерам Black Hat было сложно пойти по их стопам.

«Мы упустили некоторые детали цепочки эксплойтов, которые могут быть полезны только злоумышленникам, а не столько для построения защиты», — отметил Диллон. «Исследование предназначено для индустрии информационной безопасности белых шляп, чтобы повысить понимание и осведомленность об этих эксплойтах, чтобы можно было разработать новые методы, предотвращающие эту и будущие атаки. Это помогает защитникам лучше понять цепочку эксплойтов, чтобы они могли создавать защиту для эксплойтов, а не для полезной нагрузки».

Чтобы заразить Windows 10, хакерам пришлось обойти предотвращение выполнения данных (DEP) и рандомизацию размещения адресного пространства (ASLR) в Windows 10 и установить новую полезную нагрузку асинхронного вызова процедур (APC), которая позволяет выполнять полезную нагрузку пользовательского режима без бэкдора.

Однако хакеры были полны восхищения первоначальными хакерами АНБ, которые создали EternalBlue.

«Они определенно открыли много нового с этим эксплойтом. Когда мы добавили цели оригинального эксплойта в Metasploit, в Metasploit нужно было добавить много кода, чтобы привести его в соответствие с возможностью поддержки удаленного эксплойта ядра, нацеленного на x64», — сказал Диллон, добавив, что оригинальный эксплойт нацелен также на x86, назвав этот подвиг «почти чудом».

«Вы говорите об атаке heap-spray на ядро ​​Windows. Атаки Heap spray, вероятно, являются одним из самых эзотерических типов эксплуатации, и это для Windows, у которой нет доступного исходного кода», — сказал Диллон. «Выполнить аналогичный heapspray в Linux сложно, но это проще. В это вложено много труда».

Хорошей новостью является то, что полностью исправленная Windows 10 с установленным MS17-010 по-прежнему полностью защищена, а взлом нацелен на Windows 10 x64 версии 1511, которая была выпущена в ноябре 2015 года и носила кодовое название Threshold 2. Однако они отмечают, что это версия ОС по-прежнему поддерживается Windows Current Branch for Business.

Сегодняшние новости подчеркивают изощренность атак, совершаемых государственными учреждениями на Windows, и еще раз подтверждают важность своевременного обновления, чтобы максимально снизить риск.

Полный отчет RiskSense с подробным описанием нового взлома можно прочитать здесь (PDF)