白帽黑客将 Wannacry 漏洞移植到 Windows 10。谢谢，我猜？

有两个 Windows 操作系统在很大程度上不受最近的 Wannacry 网络攻击。 第一个是 Windows XP，由于 Wannacry 代码中的一个错误而在很大程度上幸免于难，第二个是 Windows 10，它比 Windows 7 具有更高级的防御，因此不会被感染。

进入舞台的是来自 RiskSense 的白帽黑客，他们完成了将 EternalBlue 漏洞（美国国家安全局在 Wannacry 的根部创建的黑客）移植到 Windows 10 所需的工作，并基于该黑客创建了一个 Metasploit 模块。

他们改进的模块具有多项改进，减少了网络流量并删除了 DoublePulsar 后门，他们认为这会不必要地分散安全研究人员的注意力。

“DoublePulsar 后门对于研究人员和防御者来说是一种红鲱鱼，”高级研究分析师肖恩·狄龙 (Sean Dillon) 说。 “我们通过创建一个新的有效负载来证明这一点，该有效负载可以直接加载恶意软件，而无需先安装 DoublePulsar 后门。 因此，希望在未来防御这些攻击的人们不应只关注 DoublePulsar。 专注于我们可以检测和阻止的漏洞利用部分。”

他们公布了他们的研究结果，但表示他们让黑帽黑客很难追随他们的脚步。

“我们省略了漏洞利用链的某些细节，这些细节只会对攻击者有用，而对构建防御没有多大用处，”Dillon 指出。 “这项研究是针对白帽信息安全行业的，目的是增加对这些漏洞的理解和认识，以便开发新技术来防止这种和未来的攻击。 这有助于防御者更好地了解漏洞利用链，以便他们可以为漏洞利用而不是有效负载构建防御。”

为了感染 Windows 10，黑客必须绕过 Windows 10 中的数据执行保护 (DEP) 和地址空间布局随机化 (ASLR)，并安装新的异步过程调用 (APC) 有效负载，该有效负载允许用户模式有效负载在没有后门的情况下执行。

然而，黑客们对创建 EternalBlue 的原始 NSA 黑客充满了钦佩。

“他们肯定用这个漏洞开辟了很多新天地。 当我们将原始漏洞利用的目标添加到 Metasploit 时，需要将大量代码添加到 Metasploit 以使其能够支持针对 x64 的远程内核漏洞利用，”Dillon 说，并补充说最初的漏洞利用也针对 x86，称这一壮举“几乎是奇迹”。

“你说的是对 Windows 内核的堆喷射攻击。 堆喷射攻击可能是最深奥的利用类型之一，这适用于没有可用源代码的 Windows，”Dillon 说。 “在 Linux 上执行类似的堆喷射很困难，但比这更容易。 为此做了很多工作。”

好消息是，安装了 MS10-17 的完全修补的 Windows 010 仍然受到完全保护，黑客针对的是 Windows 10 x64 版本 1511，该版本于 2015 年 2 月发布，代号为 Threshold XNUMX。但他们指出，这Windows Current Branch for Business 仍支持操作系统版本。

今天的新闻强调了政府机构对 Windows 进行的攻击的复杂性，并再次强调了保持最新状态以尽可能降低风险的重要性。

详细介绍新黑客的完整 RiskSense 报告 可以在这里阅读 (PDF.)