Hekerji White Hat prenesejo izkoriščanje Wannacry v Windows 10. Hvala, verjetno?

Dva operacijska sistema Windows sta bila v veliki meri imuna na nedavni kibernetski napad Wannacry. Prvi, Windows XP, je bil v veliki meri prihranjen zaradi napake v kodi Wannacry, drugi, Windows 10, pa je imel naprednejšo obrambo kot Windows 7 in ga zato ni bilo mogoče okužiti.

Vstop v fazo so zapustili White Hat Hackers iz RiskSense, ki so opravili delo, potrebno za prenos izkoriščanja EternalBlue, vdora, ki ga je ustvarila NSA v korenu Wannacryja, v Windows 10 in ustvarili modul Metasploit, ki temelji na vdiranju.

Njihov izpopolnjen modul vsebuje več izboljšav, z zmanjšanim omrežnim prometom in odstranitvijo zadnjih vrat DoublePulsar, za katera so menili, da po nepotrebnem motijo ​​varnostne raziskovalce.

"DoublePulsar backdoor je nekakšen rdeči sled za raziskovalce in zagovornike, na katerega se lahko osredotočijo," je dejal višji raziskovalni analitik Sean Dillon. »To smo dokazali z ustvarjanjem nove koristne obremenitve, ki lahko neposredno naloži zlonamerno programsko opremo, ne da bi nam bilo treba najprej namestiti backdoor DoublePulsar. Zato se ljudje, ki se želijo braniti pred temi napadi v prihodnosti, ne bi smeli osredotočati samo na DoublePulsar. Osredotočite se na to, katere dele izkoriščanja lahko zaznamo in blokiramo."

Objavili so rezultate svoje raziskave, vendar so dejali, da so hekerjem Black Hat otežili, da sledijo njihovim stopinjam.

"Izpustili smo nekatere podrobnosti verige izkoriščanja, ki bi bile uporabne samo za napadalce in ne toliko za gradnjo obrambe," je opozoril Dillon. »Raziskava je namenjena industriji varnosti informacij z belim klobukom, da bi povečali razumevanje in ozaveščenost o teh podvigih, da bi lahko razvili nove tehnike, ki preprečujejo te in prihodnje napade. To pomaga branilcem bolje razumeti verigo izkoriščanja, tako da lahko zgradijo obrambo za izkoriščanje in ne za koristno obremenitev."

Da bi okužili Windows 10, so morali hekerji obiti preprečevanje izvajanja podatkov (DEP) in naključno razporeditev naslovnega prostora (ASLR) v sistemu Windows 10 ter namestiti novo koristno obremenitev za asinhroni klic (APC), ki omogoča izvajanje koristnih obremenitev v uporabniškem načinu brez zalednih vrat.

Hekerji pa so bili polni občudovanja nad prvotnimi hekerji NSA, ki so ustvarili EternalBlue.

»Z izkoriščanjem so zagotovo odkrili veliko novega. Ko smo Metasploitu dodali cilje prvotnega izkoriščanja, je bilo treba Metasploitu dodati veliko kode, da bi se lahko izenačil z možnostjo podpore oddaljenega izkoriščanja jedra, ki cilja na x64,« je dejal Dillon in dodal, da izvirni izkoriščanje cilja tudi na x86 in ta podvig imenuje "skoraj čudežen.

»Govorite o napadu s množico razpršil na jedro Windows. Heap spray napadi so verjetno ena najbolj ezoteričnih vrst izkoriščanja in to je za Windows, ki nima na voljo izvorne kode,« je dejal Dillon. »Izvedba podobnega razprševanja kopice na Linuxu je težavna, a lažje kot to. V to je bilo vloženega veliko dela."

Dobra novica je, da je popolnoma popravljen Windows 10 z nameščenim MS17-010 še vedno popolnoma zaščiten, pri čemer je vdor cilja na Windows 10 x64 različice 1511, ki je bila izdana novembra 2015 in je dobila kodno ime Threshold 2. Vendar ugotavljajo, da je to različico operacijskega sistema Windows Current Branch for Business še vedno podpira.

Današnje novice poudarjajo prefinjenost napadov, ki jih na Windows izvajajo vladne agencije, in še enkrat, da je treba biti na tekočem, da se tveganje čim bolj zmanjša.

Celotno poročilo RiskSense s podrobnostmi o novem vdoru lahko preberete tukaj (PDF.)