Hackeri White Hat portujú exploit Wannacry na Windows 10. Myslím, že vďaka?

Voči nedávnemu kybernetickému útoku Wannacry existovali dva operačné systémy Windows. Prvý, Windows XP, bol z veľkej časti ušetrený kvôli chybe v kóde Wannacry a druhý, Windows 10, mal pokročilejšiu obranu ako Windows 7, a preto ho nebolo možné infikovať.

Enter stage opustili White Hat Hackers z RiskSense, ktorí vykonali prácu potrebnú na portovanie exploitu EternalBlue, hacku vytvoreného NSA v koreňovom adresári Wannacry, do Windows 10 a vytvorili modul Metasploit založený na hacke.

Ich vylepšený modul obsahuje niekoľko vylepšení so zníženou sieťovou prevádzkou a odstránením zadných dvierok DoublePulsar, ktoré podľa nich zbytočne rozptyľovali bezpečnostných výskumníkov.

„Zadné dvierka DoublePulsar sú akýmsi červeným sledom, na ktorý sa výskumníci a obrancovia môžu zamerať,“ povedal senior výskumný analytik Sean Dillon. „Preukázali sme to vytvorením nového užitočného obsahu, ktorý dokáže načítať malvér priamo bez toho, aby ste museli najskôr inštalovať zadné vrátka DoublePulsar. Ľudia, ktorí sa chcú v budúcnosti týmto útokom brániť, by sa teda nemali zameriavať iba na DoublePulsar. Zamerajte sa na to, ktoré časti exploitu dokážeme odhaliť a zablokovať.“

Zverejnili výsledky svojho výskumu, ale povedali, že hackerom Black Hat sťažili ísť v ich stopách.

"Vynechali sme určité detaily reťazca exploitov, ktoré by boli užitočné len pre útočníkov a nie až tak na budovanie obrany," poznamenal Dillon. „Výskum je určený pre odvetvie informačnej bezpečnosti s bielym klobúkom s cieľom zvýšiť porozumenie a povedomie o týchto zneužitiach, aby bolo možné vyvinúť nové techniky, ktoré zabránia týmto a budúcim útokom. To pomáha obrancom lepšie porozumieť reťazcu exploitov, aby mohli budovať obranu pre exploit namiesto užitočného zaťaženia.“

Aby hackeri infikovali Windows 10, museli obísť Data Execution Prevention (DEP) a Address Space Layout Randomization (ASLR) vo Windowse 10 a nainštalovať novú užitočnú časť asynchrónneho volania procedúr (APC), ktorá umožňuje spúšťanie dát v užívateľskom režime bez zadných vrátok.

Hackeri však boli plní obdivu k pôvodným hackerom NSA, ktorí vytvorili EternalBlue.

"Určite prelomili veľa nových možností s využitím. Keď sme do Metasploitu pridali ciele pôvodného exploitu, do Metasploitu bolo potrebné pridať veľa kódu, aby sa dostal na úroveň podpory vzdialeného kernelu, ktorý sa zameriava na x64,“ povedal Dillon a dodal, že pôvodný exploit sa zameriava aj na x86 a nazýva tento čin „takmer zázračným“.

„Hovoríte o útoku heap-spray na jadro Windowsu. Hromadné útoky sú pravdepodobne jedným z najezoterickejších typov zneužívania, a to pre Windows, ktorý nemá k dispozícii zdrojový kód,“ povedal Dillon. „Vykonať podobný haldový sprej na Linuxe je ťažké, ale jednoduchšie ako toto. Bolo za tým veľa práce."

Dobrou správou je, že plne opravený Windows 10 s nainštalovaným MS17-010 je stále plne chránený, pričom hack sa zameriava na Windows 10 x64 verzie 1511, ktorý bol vydaný v novembri 2015 a dostal kódové označenie Threshold 2. Upozorňujú však, že tento Verzia operačného systému je stále podporovaná Windows Current Branch for Business.

Dnešné správy podčiarkujú dômyselnosť útokov vládnych agentúr na systém Windows a opäť dôležitosť neustálej aktualizácie, aby sa riziko čo najviac zmiernilo.

Úplná správa RiskSense s podrobnosťami o novom hacke si môžete prečítať tu (PDF.)