Сигурност

Не е само WannaCry!

CIO Media

Изминаха няколко месеца откакто EternalBlue беше оповестен публично. Дали от него са се възползвали много хора? Или само създателите на WannaCry? 


За да отговорим на този въпрос, нека разгледаме хронологията на уязвимостта, която даде път към EternalBlue, пишат експертите от Panda Security.
25-ти октомври, 2001г.: Microsoft  пуска Windows XP (една от най-успешните операционни системи на компанията). Тя съдържа обаче критична уязвимост, която се вижда и във следващите по-нови версии на операционната система Windows.

14-ти март 2017г.: От Microsoft публикуват актуализация, която посочва тази уязвимост като MS17-010

14-ти април 2017г.: Групировката ShadowBrokers – публикуват експлойт (exploit) с име EternalBlue. Този експлойт използва уязвимоста MS 17-010, посочена от Microsoft. Ескплойтът е част от арсенал за кибер оръжия на американската NSA.

12-ти Май 2017г.: Появава се зловреден код с име WannaCry – мрежови червей, които използва техниките в експлойта EternalBlue, за да се разпространява на компютри без знанието на ползвателя и да изпълнява криптовируси на компрометираните машини.

Опасността WannaCry получава цялото внимание, но това не е единствената атака, използваща EternalBlue. Най-вероятно няма да бъде и последната.

От Panda Security наблюдаваме нова атака, която използва експлойта, но по съвсем различен начин и с друга цел. След обстоен анализ на събраните доказателства стигнахме до заключението, че поне една хакерска групировка е използвала уявимостта MS17-010 след 24 април 2017г. Това е седмица преди появата на WannaCry!

Атакуващите са успели да се промъкнат в потребителски компютри, но вместо да дистрибутират и инсталират зловреден код, те са използвали друга тактика. След успешното пускане на експлойта през SMB протокола, атакуващите използват код на ниво ядро на операционната система, за да инжектират  свой код в легитимния процес на Windows „lsass.exe“. Въпросния процес се зарежда със стартирането на операционната система. При WannaCry се зарежда зловреден код директно във въпросният процес. Тук обаче се наблюдава по-различно поведение.

Чрез този процес, атакуващия може да изпълни различни команди, за да си осигури контрол над компютърната система. Повечето действия се извършват с вградените в операционната система инструменти, като по този начин се избягва засичането от традиционните антивирусни решения. След като се осигури контрол над системата, могат например да се създават нови потребители, да се свалят компононети на инструмнтите, които се ползват, да се задават различни планирани задачи и др.

Също така наблюдаваме и развитие в действията, които се прилагат в последствие от атакуващите.
Например след поемане на контрол на дадена машина, атакуващите затварят порт 445, за да предотвратят използването на същата уязвимост от конкурентна хакерска групировка.

Парадоксалното е, че по този начин атакуващите „затварят“  възможността други компютри да бъдат заразявани с WannaCry.

Една от основните цели на атаката е да се инсталира софтуер за „копаене“ на крипто-валути. В случая използваната валута е била “Monero”, за който се смята, че ще придобие по-голяма популярност и от bitcoin валутата.

Системата за кибер сигурност Panda Adaptive Defense 360, разполага с модул за засичане и изтриване на зловреден код, използван за“копаене“ на крипто-валути.
 
Източник: Panda Security

X