白帽黑客將 Wannacry 漏洞移植到 Windows 10。謝謝，我猜？

有兩個 Windows 操作系統在很大程度上不受最近的 Wannacry 網絡攻擊。 第一個是 Windows XP，由於 Wannacry 代碼中的一個錯誤而在很大程度上倖免於難，第二個是 Windows 10，它比 Windows 7 具有更高級的防禦，因此不會被感染。

進入舞台的是來自 RiskSense 的白帽黑客，他們完成了將 EternalBlue 漏洞（美國國家安全局在 Wannacry 的根部創建的黑客）移植到 Windows 10 所需的工作，並基於該黑客創建了一個 Metasploit 模塊。

他們改進的模塊具有多項改進，減少了網絡流量並刪除了 DoublePulsar 後門，他們認為這會不必要地分散安全研究人員的注意力。

“DoublePulsar 後門對於研究人員和防御者來說是一种红鯡魚，”高級研究分析師肖恩·狄龍 (Sean Dillon) 說。 “我們通過創建一個新的有效負載來證明這一點，該有效負載可以直接加載惡意軟件，而無需先安裝 DoublePulsar 後門。 因此，希望在未來防禦這些攻擊的人們不應只關注 DoublePulsar。 專注於我們可以檢測和阻止的漏洞利用部分。”

他們公佈了他們的研究結果，但表示他們讓黑帽黑客很難追隨他們的腳步。

“我們省略了漏洞利用鏈的某些細節，這些細節只會對攻擊者有用，而對構建防禦沒有多大用處，”Dillon 指出。 “這項研究是針對白帽信息安全行業的，目的是增加對這些漏洞的理解和認識，以便開發新技術來防止這種和未來的攻擊。 這有助於防御者更好地了解漏洞利用鏈，以便他們可以為漏洞利用而不是有效負載構建防禦。”

為了感染 Windows 10，黑客必須繞過 Windows 10 中的數據執行保護 (DEP) 和地址空間佈局隨機化 (ASLR)，並安裝新的異步過程調用 (APC) 有效負載，該有效負載允許用戶模式有效負載在沒有後門的情況下執行。

然而，黑客們對創建 EternalBlue 的原始 NSA 黑客充滿了欽佩。

“他們肯定用這個漏洞開闢了很多新天地。 當我們將原始漏洞利用的目標添加到 Metasploit 時，需要將大量代碼添加到 Metasploit 以使其能夠支持針對 x64 的遠程內核漏洞利用，”Dillon 說，並補充說最初的漏洞利用也針對 x86，稱這一壯舉“幾乎是奇蹟”。

“你說的是對 Windows 內核的堆噴射攻擊。 堆噴射攻擊可能是最深奧的利用類型之一，這適用於沒有可用源代碼的 Windows，”Dillon 說。 “在 Linux 上執行類似的堆噴射很困難，但比這更容易。 為此做了很多工作。”

好消息是，安裝了 MS10-17 的完全修補的 Windows 010 仍然受到完全保護，黑客針對的是 Windows 10 x64 版本 1511，該版本於 2015 年 2 月發布，代號為 Threshold XNUMX。但他們指出，這Windows Current Branch for Business 仍支持操作系統版本。

今天的新聞強調了政府機構對 Windows 進行的攻擊的複雜性，並再次強調了保持最新狀態以盡可能降低風險的重要性。

詳細介紹新黑客的完整 RiskSense 報告 可以在這裡閱讀 (PDF.)