Tin tặc Mũ trắng đã khai thác cổng Wannacry sang Windows 10. Cảm ơn, tôi đoán vậy?
3 phút đọc
Cập nhật vào
Chia sẻ bài báo này
Cải thiện hướng dẫn này
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Có hai hệ điều hành Windows hầu như miễn nhiễm với cuộc tấn công mạng Wannacry gần đây. Phiên bản đầu tiên, Windows XP, phần lớn được cứu do một lỗi trong mã Wannacry, và phiên bản thứ hai, Windows 10, có khả năng bảo vệ nâng cao hơn Windows 7 và do đó không thể bị nhiễm.
Bước vào giai đoạn còn lại, Đội tin tặc Mũ trắng từ RiskSense, người đã thực hiện công việc cần thiết để chuyển khai thác EternalBlue, vụ tấn công do NSA tạo ra ở gốc của Wannacry, sang Windows 10 và tạo một mô-đun Metasploit dựa trên vụ hack.
Mô-đun tinh chỉnh của họ có một số cải tiến, với lưu lượng mạng giảm và việc loại bỏ cửa sau DoublePulsar, điều mà họ cho rằng đã làm mất tập trung các nhà nghiên cứu bảo mật một cách không cần thiết.
Nhà phân tích nghiên cứu cấp cao Sean Dillon cho biết: “Cửa hậu của DoublePulsar là một loại cá trích đỏ để các nhà nghiên cứu và người bảo vệ tập trung vào. “Chúng tôi đã chứng minh điều đó bằng cách tạo một tải trọng mới có thể tải trực tiếp phần mềm độc hại mà không cần phải cài đặt cửa hậu DoublePulsar trước. Vì vậy, những người muốn phòng thủ trước những cuộc tấn công này trong tương lai không nên chỉ tập trung vào DoublePulsar. Tập trung vào những phần khai thác mà chúng tôi có thể phát hiện và chặn. ”
Họ đã công bố kết quả nghiên cứu của mình nhưng nói rằng họ đã gây khó khăn cho các tin tặc Mũ đen theo bước chân của họ.
“Chúng tôi đã bỏ qua một số chi tiết nhất định của chuỗi khai thác chỉ hữu ích cho những kẻ tấn công và không quá nhiều để xây dựng hệ thống phòng thủ,” Dillon lưu ý. “Nghiên cứu dành cho ngành bảo mật thông tin mũ trắng nhằm nâng cao hiểu biết và nhận thức về những hành vi khai thác này để có thể phát triển các kỹ thuật mới nhằm ngăn chặn điều này và các cuộc tấn công trong tương lai. Điều này giúp các hậu vệ hiểu rõ hơn về chuỗi khai thác để họ có thể xây dựng hệ thống phòng thủ cho việc khai thác hơn là tải trọng. ”
Để lây nhiễm vào Windows 10, tin tặc đã phải vượt qua Ngăn chặn thực thi dữ liệu (DEP) và Ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR) trong Windows 10 và cài đặt tải trọng lệnh gọi thủ tục không đồng bộ (APC) mới cho phép thực thi tải trọng ở chế độ người dùng mà không cần cửa hậu.
Tuy nhiên, các tin tặc tỏ ra hết sức ngưỡng mộ đối với các tin tặc NSA ban đầu, những người đã tạo ra EternalBlue.
“Họ chắc chắn đã phá vỡ rất nhiều mặt bằng mới với việc khai thác. Khi chúng tôi thêm các mục tiêu của khai thác ban đầu vào Metasploit, có rất nhiều mã cần phải được thêm vào Metasploit để nâng cấp nó lên ngang bằng với khả năng hỗ trợ khai thác hạt nhân từ xa nhắm mục tiêu x64, ”Dillon nói. mục tiêu khai thác ban đầu cũng là x86, gọi kỳ tích đó là “gần như kỳ diệu.
“Bạn đang nói về một cuộc tấn công heap-spray vào nhân Windows. Dillon cho biết các cuộc tấn công kiểu phun đống có lẽ là một trong những kiểu khai thác bí truyền nhất và đây là cách dành cho Windows, vốn không có sẵn mã nguồn. “Thực hiện một quá trình phun đống tương tự trên Linux rất khó, nhưng dễ hơn thế này. Rất nhiều công việc đã đi vào vấn đề này. ”
Tin tốt là Windows 10 được vá đầy đủ, với MS17-010 được cài đặt, vẫn được bảo vệ đầy đủ, với cuộc tấn công nhắm mục tiêu vào Windows 10 x64 phiên bản 1511, được phát hành vào tháng 2015 năm 2 và có tên mã là Threshold XNUMX. Tuy nhiên, họ lưu ý rằng điều này phiên bản của hệ điều hành vẫn được hỗ trợ bởi Windows Current Branch for Business.
Tin tức hôm nay nhấn mạnh mức độ tinh vi của các cuộc tấn công vào Windows của các cơ quan chính phủ và một lần nữa tầm quan trọng của việc cập nhật thông tin để giảm thiểu rủi ro càng nhiều càng tốt.
Báo cáo RiskSense đầy đủ nêu chi tiết về vụ hack mới có thể đọc ở đây (PDF.)
