Хакери White Hat переносять експлойт Wannacry на Windows 10. Дякуємо, мабуть?

Існували дві операційні системи Windows, які в основному захищені від недавньої кібератаки Wannacry. Перший, Windows XP, значною мірою був збережений через помилку в коді Wannacry, а другий, Windows 10, мав більш розширений захист, ніж Windows 7, і тому не міг бути заражений.

На стадії початку залишилися хакери White Hat з RiskSense, які виконали роботу, необхідну для перенесення експлойту EternalBlue, створеного АНБ хака в корені Wannacry, на Windows 10, і створили модуль Metasploit на основі зламу.

Їхній удосконалений модуль має кілька покращень, зі зменшеним мережевим трафіком і видаленням задніх дверей DoublePulsar, які, на їхню думку, відволікали дослідників безпеки без потреби.

«Бекдор DoublePulsar – це свого роду червоний оселедець для дослідників і захисників, на якому варто зосередитися», – сказав старший аналітик Шон Діллон. «Ми продемонстрували це, створивши нове корисне навантаження, яке може завантажувати шкідливе програмне забезпечення безпосередньо без попереднього встановлення бекдора DoublePulsar. Тому люди, які хочуть захиститися від цих атак у майбутньому, не повинні зосереджуватися виключно на DoublePulsar. Зосередьтеся на тому, які частини експлойту ми можемо виявити та заблокувати».

Вони опублікували результати свого дослідження, але сказали, що вони ускладнили хакерам Black Hat йти по їхніх стопах.

«Ми опустили деякі деталі ланцюга експлойтів, які були б корисні лише для зловмисників, а не стільки для створення оборони», – зазначив Діллон. «Дослідження призначене для індустрії інформаційної безпеки, щоб підвищити розуміння та обізнаність про ці експлойти, щоб можна було розробити нові методи, які запобігатимуть цим і майбутнім атакам. Це допомагає захисникам краще зрозуміти ланцюжок експлойтів, щоб вони могли будувати захист для експлойту, а не корисного навантаження».

Щоб заразити Windows 10, хакерам довелося обійти запобігання виконання даних (DEP) і рандомізацію адресного простору (ASLR) у Windows 10 і встановити нове корисне навантаження асинхронного виклику процедур (APC), що дозволяє виконувати корисні навантаження в режимі користувача без бекдора.

Проте хакери були сповнені захоплення оригінальними хакерами АНБ, які створили EternalBlue.

«Вони, безперечно, відкрили багато нового завдяки експлойту. Коли ми додали цілі оригінального експлойту до Metasploit, до Metasploit потрібно було додати багато коду, щоб він був на рівні з можливістю підтримки віддаленого експлойту ядра, націленого на x64», — сказав Діллон, додавши, що оригінальний експлойт також націлений на x86, називаючи цей подвиг «майже дивовижним.

«Ви говорите про атаку на ядро ​​Windows. Атаки Heap spray, ймовірно, є одним із найбільш езотеричних видів експлуатації, і це для Windows, вихідний код якої недоступний», – сказав Діллон. «Виконати подібне розпилення кучи в Linux складно, але простіше, ніж це. Для цього було багато роботи».

Хороша новина полягає в тому, що повністю виправлена ​​Windows 10 із встановленим MS17-010 все ще повністю захищена, а злом спрямований на Windows 10 x64 версії 1511, яка була випущена в листопаді 2015 року і отримала кодову назву Threshold 2. Однак вони відзначають, що це версія ОС все ще підтримується Windows Current Branch for Business.

Сьогоднішні новини підкреслюють складність атак, що здійснюються на Windows з боку державних установ, і ще раз підкреслює важливість залишатися в курсі, щоб максимально зменшити ризик.

Повний звіт RiskSense з детальною інформацією про новий хак можна прочитати тут (PDF.)