新闻快讯
< >

【预警】Win10也沦陷,如何应对永恒之蓝?

E安全6月9日讯 据报道,白帽子黑客已经将“永恒之蓝”利用到Windows 10,这意味着,未打补丁的所有Microsoft操作系统都有可能被攻击影响。

【预警】Win10也沦陷,如何应对永恒之蓝?-E安全

更新MS17-010补丁,很重要

RiskSense网络安全研究小组是首批研究“永恒之蓝”、DoublePulsar后门有效载荷以及NSA Fuzzbunch平台的研究团队。他们表示,不会发布Windows 10“永恒之蓝”端口的源代码。

自“影子经纪人”四月泄露“方程式组织”针对Windows XP和Windows 7 的黑客工具以来,RiskSense网络安全研究小组一直在研究PoC,并在WannaCry勒索病毒爆发后两天(2017年5月14日)完成了基于“永恒之蓝”的Metasploit 漏洞利用模块。研究人员表示,应对“永恒之蓝”的最佳防御措施依然是应用Microsoft三月提供的MS17-010更新

RiskSense网络安全研究小组研究过程

当地时间周二,研究人员发布报告阐述了将“永恒之蓝”引入Windows 10的必要性,并检验了Microsoft采用的缓解措施。

这项研究仅供安全人员理解并认识这些漏洞利用,从而开发新技术,以防止此类攻击以及未来的攻击。该研究可以帮助防御者更好地理解该漏洞利用链,以构建针对该漏洞利用的防御措施。但资深研究分析师肖恩·迪隆表示,他们省略了仅对攻击者有用的某些细节

Metasploit模块

Metasploit模块与新Windows端口是完全分离的。

Metasploit模块是“永恒之蓝”的缩减版,减少了所涉及的网络流量,因此可以绕过自这批NSA工具泄露以来安全公司和美国政府推荐使用的许多入侵检测系统。此外,Metasploit模块还删除了DoublePulsar后门。DoublePulsar是Fuzzbunch平台中所有漏洞利用扔下的内核级漏洞利用。

迪隆指出,许多安全公司对DoublePulsar倾注了过多不必要的关注。DoublePulsar分散了研究人员和防御者的注意力。

研究人员证明,创建新的有效载荷就能直接加载恶意软件,无需首先安装DoublePulsar后门。因此,未来防御这些工具不应只关注DoublePulsa,还应关注能发现并阻止的部分。

端口

新端口针对的是基于64位系统的Windows 10 Version 1511(Threshold 2)。

研究人员能绕过Windows 10引入的缓解措施(Windows XP、Windows7、Windows8中不存在),并挫败“永恒之蓝”的DEP和ASLR绕过技术。为了转移到Windows 10,研究人员必须创建新的DEP绕过技术。

RiskSense在报告中提到新攻击的细节,包括新的有效载荷替代DoublePulsar。迪隆称密码不安全,任何人都可以加载二级恶意软件,WannaCry就是这种情况。RiskSense的新有效载荷无需后门,允许执行用户模式有效载荷的异步过程调用(APC)。APC可以“借用”闲置可报警的进程线程,当其依赖Offset结构函数在Windows版本之间发生变化时,APC是退出推出内核模式,进入用户模式最可靠、最简单的方式之一。

NSA或早就能用“永恒之蓝”攻击Windows10

影子经纪人泄露的是NSA过去使用的黑客工具,并非NSA当前的网络武器。到目前为止,NSA很有可能掌握着Win 10版的“永恒之蓝”,但是直到今天,这样的选择并未向防御者提供。与此同时,“永恒之蓝”仍是公之于众的最复杂攻击之一。

【预警】Win10也沦陷,如何应对永恒之蓝?-E安全

有人认为,这批NSA文件被泄露前一个月,NSA已提醒Microsoft “影子经纪人”即将放出的漏洞,以便为Microsoft预留时间构建、测试并部署MS17-010。

永恒之蓝带来的黑客知识更新

迪隆表示,真正只有少数人能写出原始“永恒之蓝”漏洞利用,但它现在就暴露在网上,人们可以研究原始的漏洞利用及其使用的技术。这为许多业余黑客打开了“知识”大门。要使用缓冲区溢出导致程序崩溃很容易,但执行代码相对较难。因此,无论谁编写了原始的“永恒之蓝”漏洞利用,此人肯定通过大量实验发现了将崩溃转化为执行代码的最佳途径。

“永恒之蓝”为攻击者提供能力执行即时的远程未验证Windows代码执行攻击,这种能力是供黑客任意支配的最佳漏洞利用类型。开发人员肯定在此漏洞利用方面取得大量新突破。

当研究人员将永恒之蓝”漏洞利用的目标添加到Metasploit时,需要将大量代码添加到Metasploit,使其支持针对64位系统的远程内核漏洞利用,而原始的漏洞利用还针对32位系统。迪隆认为这种“壮举”令人惊叹。

当谈论针对Windows内核的堆喷射(Heap Spray)攻击,这种攻击可能是最深奥的攻击类型之一,而该漏洞利用针对的是Windows,没有可获取的源代码。在Linux上执行类似的堆喷射攻击也困难,但相对要简单得多。

企业如何应对?

尽管使用户应升级到Windows 10 最新版本依然是目前抵御“永恒之蓝”的最佳方式,但迪隆强调,即使用户应升级到Windows 10 最新版本,光靠打补丁仍不足以完全抵御这类威胁。

E安全建议使用SMB服务的企业应开启防火墙,并为需要从外部访问内部网络网络的用户设置VPN访问。企业应详细罗列网络上的软件和设备,并提供识别并部署补丁的程序。当攻击者迅速从补丁转移到漏洞利用时,这些措施将尤为重要。

相关阅读:

早在WannaCry之前,至少存在3个组织利用永恒之蓝发起攻击
“永恒之蓝”漏洞所有Windows版本独立安全更新包下载
“永恒之蓝”勒索软件席卷全球:幕后黑手已获利至少2.6万美金
“永恒之蓝”勒索病毒已波及150国20万台计算机设备

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。