Что такое этернал блю
Обновлено: 06.07.2024
Введение в Assembler
Название эксплоита EternalBlue, направленного на эксплуатацию уязвимости в протоколе SMB, хорошо знакомо даже рядовым пользователям, ведь именно этот инструмент использовался для распространения шифровальщика WannaCry в мае 2017 года.
Эксплоит был опубликован хакерской группировкой The Shadow Brokers в открытом доступе в апреле текущего года. Хакеры похитили этот и многие другие инструменты у Equation Group – группировки, за которой стоят «правительственные хакеры» из АНБ.
Работу EternalBlue изучали многие компании и специалисты, он уже был включен в состав Metasploit, так что на данный момент хорошо известно, что эксплоит работает против Windows XP, Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008, причем в некоторых случаях добиться заражения весьма непросто. Также исследователям удалось добиться работы EternalBlue с Windows 8, Windows 8.1 и Windows Server 2012.
Теперь специалисты компании RiskSense, Шон Диллон (Sean Dillon) и Дилан Девис (Dylan Davis) сообщили, что им удалось адаптировать эксплоит для работы с Windows 10.
Исследователи пишут, что их эксплоит работает только для версий младше Windows 10 Redstone 1 (версия от апреля 2016 года) и в системе не должно быть патча MS17-010. Дело в том, что с релизом Windows 10 Redstone 1 был закрыт обход DEP (Data Execution Prevention), который использует EternalBlue. Также выход версии Windows 10 Redstone 2 (Creators Update, апрель 2017 года) закрыл обход ASLR (Address Space Layout Randomization), которым также пользовался эксплоит. Именно поэтому более новые версии Windows 10 неплохо защищены от EternalBlue.
Также специалисты похвастались тем, что сумели сократить код эксплоита на 20% и избавились от необходимости использовать совместно с EternalBlue инструмент DoublePulsar, как это делал WannaCry.
Проверить компьютер на уязвимость перед эксплоитом ETERNALBLUE поможет Eternal Blues
Введение в Assembler
Название эксплоита ETERNALBLUE, направленного на эксплуатацию уязвимости в протоколе SMB, знакомо даже рядовым пользователям, ведь именно этот инструмент использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе недавних атак малвари Petya. Помимо этого ETERNALBLUE уже был включен в состав Metasploit, и его взяли на вооружение разработчики криптовалютного майнера Adylkuzz, червя EternalRocks, шифровальщика Uiwix, трояна Nitol (он же Backdoor.Nitol), малвари Gh0st RAT и так далее.
Напомню, что изначально эксплоит был опубликован в сети хакерской группировкой The Shadow Brokers в апреле текущего года. Хакеры заявляют, что похитили этот и многие другие инструменты у Equation Group – группировки, за которой, по утверждениям многих специалистов, стоят «правительственные хакеры» из АНБ.
Патч, закрывающий уязвимости, которые ранее эксплуатировало АНБ, был выпущен еще в марте 2017 года (MS17-010). Кроме того, в мае, когда при помощи эксплоитов спецслужб начал распространяться вымогатель WannaCry, компания Microsoft также представила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003.
Тем не менее, пользователи по-прежнему не торопятся устанавливать обновления и правильно настраивать ПО, это не способны изменить даже такие угрозы, как WannaCry и Petya. К примеру, по данным специалистов Rapid7 и основателя поисковика Shodan Джона Мазерли, миллионы устройств по всему миру по-прежнему свободно доступны через SMB и Telnet.
Сотрудник компании Imperva Элад Эрез (Elad Erez) решил, что решению проблемы может поспособствовать простой инструмент, который поможет пользователям определить, уязвим ли их компьютер перед ETERNALBLUE. Эрез назвал свою разработку Eternal Blues. Инструмент работает просто: сканирует доступные компьютеры и проверяет, можно ли эксплуатировать уязвимость при помощи специально созданных пакетов. Эксперт отмечает, что в теории Eternal Blues может использоваться не только для LAN, но для любых сетевых диапазонов.
Eternal Blues не чета NMap, Metasploit, но утилита создавалась не в расчете на ИБ-специалистов, она адресована рядовым пользователям и занятым системным администраторам, которым нужно простое решение, работающее «в два клика».
Бесплатный сканер обнаружил более 50 000 уязвимых перед ETERNALBLUE машин
Введение в Assembler
Две недели назад сотрудник компании Imperva Элад Эрез (Elad Erez) представил простой и совершенно бесплатный инструмент Eternal Blues, который позволяет проверить компьютер на уязвимость перед эксплоитом ETERNALBLUE. Напомню, что данный эксплоит был похищен у АНБ и после опубликован в свободном доступе, а его работа направлена на эксплуатацию уязвимости в протоколе SMB. ETERNALBLUE использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе недавних атак малвари Petya.
Эрез писал, что Eternal Blues нельзя назвать конкурентом NMap или Metasploit, так как утилита создавалась не в расчете на ИБ-специалистов, а была адресована рядовым пользователям и занятым системным администраторам, которым нужно простое решение, работающее буквально «в два клика».
Eternal Blues работает крайне просто: сканирует доступные компьютеры и проверяет, можно ли эксплуатировать уязвимость при помощи специально созданных пакетов. Стоит сказать, что в теории Eternal Blues может использоваться не только для проверки LAN, но для любых сетевых диапазонов.
Теперь, спустя две недели после релиза утилиты, Эрез решил поделиться собранной за это время обезличенной статистикой. В своем блоге разработчик пишет, что сканер скачали «бессчетное количество раз», и пользователи произвели сканирование более 8 млн адресов. Большинство просканированных IP-адресов находились на территории Франции, России, Германии, США и Украины.
Eternal Blues помог выяснить, что в 53,8% случаев на сканируемых хостах по-прежнему активен протокол SMBv1, который не рекомендуют использовать даже сами разработчики Microsoft. Единственной хорошей новостью в данном случае является тот факт, что даже включенный SMBv1 не поможет срабатыванию эксплоита ETERNALBLUE, если в системе установлен патч MS17-010.
Согласно собранным Эрезом данным, только один из девяти проверенных хостов оказался уязвим перед ETERNALBLUE, то есть уязвимыми оказались более 50 000 машин (11% от общего количества просканированных). Чаще всего уязвимости демонстрируют хосты во Франции, России и Украине.
Не только WannaCry: эксплойт EternalBlue порождает новые атаки
После того как EternalBlue был опубликован, кто-нибудь еще воспользовался им? Или только создатели WannaCry? Прежде чем ответить на данный вопрос, давайте взглянем на историю уязвимости, которая дала путь эксплойту EternalBlue.
25 октября 2001 г: Microsoft выпускает операционную систему Windows XP, которая стала одной из самых успешных проектов компании. Она содержит критическую уязвимость (о которой никто не знает), которая позже передалась всем будущим версиям операционной системы.
14 марта 2017 г: Microsoft опубликовал обновление, которое устраняет данную уязвимость S17-010.
14 апреля 2017 г: Группа Shadow Brokers опубликовала эксплойт EternalBlue из состава кибер-арсенала АНБ, который позволяет эксплуатировать данную уязвимость.
12 мая 2017 г: Появился WannaCry – сетевой червь, который использует EternalBlue для распространения и запуска шифровальщика на скомпрометированных компьютерах.
WannaCry сумел привлечь внимание всех без исключения, однако это не первая атака, в рамках которой использовался эксплойт EternalBlue, и, возможно, далеко не последняя. На самом деле, мы в антивирусной лаборатории PandaLabs недавно наблюдали новую атаку, которая использует эксплойт для совершенно других целей. После проведения тщательного анализа, мы получили доказательства того, что как минимум одна группа кибер-преступников эксплуатировала данную уязвимость с 24 апреля 2017 года, за несколько недель до появления WannaCry.
Злоумышленники использовали брешь в безопасности для проникновения на чужие компьютеры, но вместо установки вредоносной программы они использовали другую тактику.
После успешного запуска эксплойта через протокол SMB, злоумышленники использовали код ядра, чтобы внедрить себя в процесс “lsass.exe”, который всегда присутствует в системах Windows. В отличие от атаки WannaCry, которая напрямую внедряет вредоносный код в процесс, в этом случае хакеры использовали его другим способом:
Через этот процесс злоумышленники привели в действие широкий набор команд, чтобы гарантировать «выживаемость». Большинство действий выполнено с помощью собственных утилит Windows или других невредоносных инструментов, что позволило им избежать обнаружения со стороны традиционных антивирусных решений.
Затем они смогли, например, создать нового пользователя, загрузить компоненты используемых ими утилит, остановить работу старых версий утилит, которые были установлены ранее, прописать все необходимое в автозагрузку для повышения «выживаемости», запланировать выполнение требуемых действий…
Утилита анализа поведения приложений от Panda Adaptive Defense
Мы также смогли проверить динамику действий, которые были выполнены этой группой злоумышленников. Например, после получения контроля, они закрыли порт 445 для предотвращения случаев эксплуатации уязвимости MS17-010 другими хакерами.
Как это ни парадоксально, злоумышленники невольно помогли своим жертвам, т.к. этот шаг не позволил заразить другие компьютеры червем WannaCry.
Одна из целей данной атаки заключалась в установке программного обеспечения, необходимого для майнинга криптовалюты «Monero», которая является аналогом хорошо известного Bitcoin.
Наконец, мы увидели, как оно было установлено в качестве службы и запустило программу для майнинга:
Данная атака не стала проблемой для Adaptive Defense, т.к. помимо множества различных технологий, данное решение оснащено поведенческими технологиями обнаружения BitcoinMiner.
Читайте также: