แฮ็กเกอร์ White Hat พอร์ต Wannacry ใช้ประโยชน์จาก Windows 10 ขอบคุณฉันเดาเหรอ?
3 นาที. อ่าน
อัปเดตเมื่อวันที่
แชร์บทความนี้
ปรับปรุงคู่มือนี้
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
มีระบบปฏิบัติการ Windows สองระบบซึ่งส่วนใหญ่มีภูมิคุ้มกันต่อการโจมตีทางไซเบอร์ของ Wannacry ครั้งล่าสุด ครั้งแรก Windows XP ได้รับการยกเว้นส่วนใหญ่เนื่องจากข้อบกพร่องในโค้ด Wannacry และประการที่สอง Windows 10 มีการป้องกันขั้นสูงกว่า Windows 7 ดังนั้นจึงไม่สามารถติดไวรัสได้
เข้าสู่เวทีจากแฮ็กเกอร์ White Hat จาก RiskSense ซึ่งทำงานที่จำเป็นในการย้ายช่องโหว่ของ EternalBlue แฮ็คที่สร้างโดย NSA ที่รูทของ Wannacry ไปยัง Windows 10 และสร้างโมดูล Metasploit ตามการแฮ็ก
โมดูลที่ได้รับการขัดเกลามีการปรับปรุงหลายอย่าง โดยมีการรับส่งข้อมูลเครือข่ายลดลงและการนำประตูหลังของ DoublePulsar ออก ซึ่งพวกเขารู้สึกว่าเป็นการรบกวนนักวิจัยด้านความปลอดภัยโดยไม่จำเป็น
“ประตูหลังของ DoublePulsar เป็นเหมือนปลาเฮอริ่งแดงสำหรับนักวิจัยและกองหลังที่ต้องให้ความสนใจ” นักวิเคราะห์อาวุโส Sean Dillon กล่าว “เราแสดงให้เห็นแล้วว่าโดยการสร้างเพย์โหลดใหม่ที่สามารถโหลดมัลแวร์ได้โดยตรงโดยไม่ต้องติดตั้งแบ็คดอร์ DoublePulsar ก่อน ดังนั้นผู้ที่ต้องการป้องกันการโจมตีเหล่านี้ในอนาคตจึงไม่ควรมุ่งความสนใจไปที่ DoublePulsar เพียงอย่างเดียว มุ่งเน้นไปที่ส่วนใดของการหาช่องโหว่ที่เราสามารถตรวจจับและบล็อกได้”
พวกเขาเผยแพร่ผลการวิจัยของพวกเขา แต่กล่าวว่าพวกเขาทำให้แฮกเกอร์ Black Hat ยากที่จะเดินตามรอยเท้าของพวกเขา
“เราได้ละเว้นรายละเอียดบางอย่างของห่วงโซ่การเอารัดเอาเปรียบที่จะเป็นประโยชน์ต่อผู้โจมตีเท่านั้น และไม่มากนักสำหรับการสร้างการป้องกัน” ดิลลอนตั้งข้อสังเกต “การวิจัยมีไว้สำหรับอุตสาหกรรมการรักษาความปลอดภัยข้อมูลแบบ white-hat เพื่อเพิ่มความเข้าใจและการรับรู้ถึงช่องโหว่เหล่านี้ เพื่อให้สามารถพัฒนาเทคนิคใหม่ๆ เพื่อป้องกันการโจมตีนี้และในอนาคต สิ่งนี้ช่วยให้ผู้ปกป้องเข้าใจห่วงโซ่การเอารัดเอาเปรียบได้ดีขึ้น เพื่อให้พวกเขาสามารถสร้างการป้องกันสำหรับการหาประโยชน์มากกว่าที่จะเป็นน้ำหนักบรรทุก”
ในการแพร่ระบาดใน Windows 10 แฮกเกอร์ต้องเลี่ยงผ่าน Data Execution Prevention (DEP) และ Address Space Layout Randomization (ASLR) ใน Windows 10 และติดตั้งเพย์โหลด Asynchronous Procedure Call (APC) ใหม่ที่อนุญาตให้เพย์โหลดโหมดผู้ใช้ดำเนินการได้โดยไม่ต้องใช้แบ็คดอร์
อย่างไรก็ตาม แฮกเกอร์ต่างชื่นชมแฮ็กเกอร์ NSA ดั้งเดิมที่สร้าง EternalBlue
“พวกเขาได้ทำลายพื้นที่ใหม่มากมายด้วยการหาประโยชน์ เมื่อเราเพิ่มเป้าหมายของการเอารัดเอาเปรียบดั้งเดิมให้กับ Metasploit มีโค้ดจำนวนมากที่ต้องเพิ่มใน Metasploit เพื่อให้เทียบเท่ากับการสนับสนุนการใช้ประโยชน์จากเคอร์เนลระยะไกลที่กำหนดเป้าหมายเป็น x64” ดิลลอนกล่าวเสริมว่า เป้าหมายการเอารัดเอาเปรียบดั้งเดิม x86 ยังเรียกความสำเร็จนั้นว่า "เกือบจะมหัศจรรย์
“คุณกำลังพูดถึงการโจมตีแบบ heap-spray บนเคอร์เนลของ Windows การโจมตีแบบ Heap Spray อาจเป็นหนึ่งในประเภทการเอารัดเอาเปรียบที่ลึกลับที่สุด และนี่สำหรับ Windows ซึ่งไม่มีซอร์สโค้ดให้ใช้งาน” Dillon กล่าว “การทำ heap spray ที่คล้ายกันบน Linux นั้นยาก แต่ง่ายกว่านี้ งานนี้มีการทำงานมากมาย”
ข่าวดีก็คือ Windows 10 ที่แพตช์อย่างสมบูรณ์โดยติดตั้ง MS17-010 นั้นยังคงได้รับการปกป้องอย่างสมบูรณ์ โดยแฮ็กที่กำหนดเป้าหมายไปที่ Windows 10 x64 เวอร์ชัน 1511 ซึ่งเปิดตัวในเดือนพฤศจิกายน 2015 และมีชื่อรหัสว่า Threshold 2 อย่างไรก็ตาม พวกเขาสังเกตเห็นว่าสิ่งนี้ เวอร์ชันของระบบปฏิบัติการยังคงรองรับโดย Windows Current Branch for Business
ข่าววันนี้เน้นย้ำความซับซ้อนของการโจมตีที่ทำบน Windows โดยหน่วยงานของรัฐ และอีกครั้งถึงความสำคัญของการอัปเดตล่าสุดเพื่อลดความเสี่ยงให้มากที่สุด
รายงาน RiskSense ฉบับสมบูรณ์ซึ่งมีรายละเอียดเกี่ยวกับการแฮ็กใหม่ สามารถอ่านได้ที่นี่ (PDF.)
