{:ru}Эксперты выяснили, какая ОС станет новой жертвой WannaCry{:}{:uk}Експерти з’ясували, яка ОС стане новою жертвою WannaCry{:}

0

{:ru}Эксперты по безопасности компании RiskSense успешно модифицировали эксплойт EternalBlue, используемый знаменитым трояном WannaCry. Теперь эксплойт можно применять для Windows 10, пишет TechNews.

Windows 10 больше не панацея

Специалисты компании RiskSense опубликовали пространный доклад о том, как можно заставить работать эксплойт EternalBlue в среде Windows 10, ранее в ней не функционировавший.

EternalBlue — это один из «эксплойтов АНБ», похищенных у кибергруппировки Equation в 2016 г. В середине апреля 2017 г. этот эксплойт, наряду с несколькими другими, распространила группа The Shadow Brokers. Вскоре после этого произошла глобальная эпидемия шифровальщика-вымогателя WannaCry, в котором использовался данный эксплойт.

Глобальная кибератака с использованием вируса-вымогателя WannaCry началась 12 мая 2017 г. Вирус заразил десятки тысяч компьютеров по всему миру, в том числе, компьютеры государственных учреждений.

Перед ним уязвимы все компьютеры на базе операционных систем Windows младше десятой версии. В Windows 10 реализован ряд защитных механизмов, призванных предотвращать проникновение вредоносного ПО в систему, и EternalBlue перед ними был бессилен.

Однако эксперты RiskSense продемонстрировали, что этот эксплойт можно заставить работать и под Windows 10, хотя и отметили, что мартовское обновление системы MS17-010 является наиболее эффективным барьером против вредоносного ПО, использующего EternalBlue.

«Мы опустили ряд подробностей…»

В опубликованном документе исследователи показали, как им удалось обойти инструменты защиты Windows 10 — в частности, придумать новый способ обойти DEP (Data Execution Prevention, функция предотвращения выполнения данных) и ASLR (address space layout randomization — «рандомизация размещения адресного пространства»).

Как рассказал старший аналитик компании Шон Диллон (Sean Dillon), RiskSense не планируют в обозримом будущем выпускать исходный код «порта» EternalBlue под Windows 10. В публикации опущены многие подробности, которые ни к чему легитимным исследователям по безопасности и могут заинтересовать только злоумышленников.

Зато другие аспекты расписаны во всех деталях.

«Оригинальный» EternalBlue работает в связке с бэкдором DoublePulsar, который должен попасть в систему первым. Как заявил Диллон, многие специалисты по кибербезопасности уделили «пульсару» излишне пристальное внимание. Между тем, он вполне заменяем чем-то еще.

«DoublePulsar — это своего рода отвлекающий маневр специально для экспертов по безопасности, — заявил Диллон. — Мы доказали это, создав новый компонент, позволяющий напрямую загружать вредоносное ПО, без предварительной установки DoublePulsar. Так что те, кто хочет в будущем защититься от подобных атак, не стоит сосредотачивать внимание на DoublePulsar. Лучше заняться тем частями эксплойта [EternalBlue], которые можно идентифицировать и заблокировать».

Новым компонентом для EternalBlue стала асинхронная процедура вызова Windows, позволяющая запускать вредоносные компоненты из-под пользовательского режима процессорного доступа без использования бэкдора. Технические подробности реализации этого метода, а также описание технических методов защиты доступны по ссылке.

Эксперты RiskSense указывают, что наиболее действенным методом защиты все равно остается установка обновления от Microsoft, вышедшего в марте 2017 г.

— Произошло то, что и должно было произойти, — считает Ксения Шилак, директор по продажам компании SEC-Consult Рус. — Отрадно, что «портом» EternalBlue занимались легитимные специалисты по безопасности, а не криминальные хакеры. Теперь, по крайней мере, у потенциальных жертв есть информация о том, какие меры можно принять, чтобы защититься. Проблема в том, что эпидемия WannaCry хорошо показала, как часто пользователи и системные администраторы пренебрегают установкой даже критически необходимых обновлений.

Модуль в Metasploit

Эксперты RiskSense были среди первых, кто взялся пристально изучать EternalBlue и DoublePulsar. Уже через два дня после основной волны атак со стороны WannaCry они добавили в платформу Metasploit модуль, представляющий собой «усеченный» вариант EternalBlue, который также не нуждается в DoublePulsar. Благодаря отсутствию бэкдора, модуль генерирует меньше трафика, что позволяет обходить автоматические системы обнаружения вторжений, настроенные на EternalBlue и DoublePulsar.

Источник: cnews.ru{:}{:uk}Експерти з безпеки компанії RiskSense успішно модифікували експлойт EternalBlue, використовуваний знаменитим трояном WannaCry. Тепер експлойт можна застосовувати для Windows 10, пише TechNews.

Windows 10 більше не панацея

Фахівці компанії RiskSense опублікували розлогу доповідь про те, як можна змусити працювати експлойт EternalBlue в середовищі Windows 10, яка раніше в ній не функціонувала.

EternalBlue – це один з «експлойтів АНБ», викрадених у кібер-угруповання Equation в 2016 р.. В середині квітня 2017 року цей експлойт, поряд з кількома іншими, поширила група The Shadow Brokers. Незабаром після цього відбулася глобальна епідемія шифрувальника-здирника WannaCry, в якому використовувався даний експлойт.

Глобальна кібератака з використанням вірусу-здирника WannaCry почалася 12 травня 2017 р.. Вірус заразив десятки тисяч комп’ютерів по всьому світу, в тому числі, комп’ютери державних установ.

Перед ним уразливі всі комп’ютери на базі операційних систем Windows молодше десятої версії. У Windows 10 реалізований ряд захисних механізмів, покликаних запобігати проникненню шкідливого ПЗ в систему, і EternalBlue перед ними був безсилий.

Однак експерти RiskSense продемонстрували, що цей експлойт можна змусити працювати і під Windows 10, хоча і відзначили, що березневе оновлення системи MS17-010 є найбільш ефективним бар’єром проти шкідливого ПО, що використовує EternalBlue.

«Ми опустили ряд подробиць …»

В опублікованому документі дослідники показали, як їм вдалося обійти інструменти захисту Windows 10 – зокрема, придумати новий спосіб обійти DEP (Data Execution Prevention, функція запобігання виконання даних) і ASLR (address space layout randomization – «рандомизация розміщення адресного простору»).

Як розповів старший аналітик компанії Шон Діллон (Sean Dillon), RiskSense не планують в найближчому майбутньому випускати вихідний код «порту» EternalBlue під Windows 10. У публікації опущені багато подробиць, які ні до чого легітимним дослідникам з безпеки і можуть зацікавити тільки зловмисників.

Зате інші аспекти розписані у всіх деталях. 

«Оригінальний» EternalBlue працює в зв’язці з Бекдор DoublePulsar, який повинен потрапити в систему першим. Як заявив Діллон, багато фахівців з кібербезпеки приділили «Пульсару» надмірно пильну увагу. Тим часом, він цілком замінюється чимось ще.

«DoublePulsar – це свого роду відволікаючий маневр спеціально для експертів з безпеки, – заявив Діллон. – Ми довели це, створивши новий компонент, що дозволяє безпосередньо завантажувати шкідливе ПО, без попередньої установки DoublePulsar. Так що ті, хто хоче в майбутньому захиститися від подібних атак, не варто зосереджувати увагу на DoublePulsar. Краще зайнятися тим частинами експлойта [EternalBlue], які можна ідентифікувати і заблокувати ».

Новим компонентом для EternalBlue стала асинхронна процедура виклику Windows, що дозволяє запускати шкідливі компоненти з-під призначеного для користувача режиму процесорного доступу без використання бекдора. Технічні подробиці реалізації цього методу, а також опис технічних методів захисту доступні за посиланням .

Експерти RiskSense вказують, що найбільш дієвим методом захисту все одно залишається установка оновлення від Microsoft, що вийшов в березні 2017 р

– Сталося те, що й повинно було статися, – вважає Ксенія Шилак, директор з продажу компанії SEC-Consult Рус. – Відрадно, що «портом» EternalBlue займалися легітимні фахівці з безпеки, а не кримінальні хакери. Тепер, принаймні, у потенційних жертв є інформація про те, які заходи можна вжити, щоб захиститися. Проблема в тому, що епідемія WannaCry добре показала, як часто користувачі і системні адміністратори нехтують установкою навіть критично необхідних оновлень.

Модуль в Metasploit

Експерти RiskSense були серед перших, хто взявся пильно вивчати EternalBlue і DoublePulsar. Уже через два дні після основної хвилі атак з боку WannaCry вони додали в платформу Metasploit модуль, який представляє собою «усічений» варіант EternalBlue, який також не потребує DoublePulsar. Завдяки відсутності бекдора, модуль генерує менше трафіку, що дозволяє обходити автоматичні системи виявлення вторгнень, налаштовані на EternalBlue і DoublePulsar.

Джерело: cnews.ru{:}

Попередня стаття{:ru}Характеристики Honor 9 подтверждены официально{:}{:uk}Характеристики Honor 9 підтверджені офіційно{:}
Наступна стаття{:ru}Прощай, ВК: сколько украинцев сидят в новой соцсети{:}{:uk}Прощай, ВК: скільки українців сидять в новій соцмережі{:}

НАПИСАТИ ВІДПОВІДЬ

Будь ласка, введіть свій коментар!
Будь ласка, введіть своє ім'я тут