EternalBlue - EternalBlue
Распространенное имя | Вечный |
---|---|
Техническое название |
|
Тип | Использовать |
Авторы) | Группа уравнений |
Затронутые операционные системы | Windows 95 , Windows 98 , Windows Me , Windows NT , Windows 2000 , Windows XP |
EternalBlue - это эксплойт для кибератак, разработанный Агентством национальной безопасности США (АНБ). Хакерская группа Shadow Brokers утекла в него 14 апреля 2017 года, через месяц после того, как Microsoft выпустила исправления для этой уязвимости .
12 мая 2017 года всемирный вымогатель WannaCry использовал этот эксплойт для атаки на незащищенные компьютеры. 27 июня 2017 года эксплойт снова был использован для проведения кибератаки NotPetya 2017 года на еще не исправленных компьютерах.
Также сообщалось, что эксплойт использовался с марта 2016 года китайской хакерской группой Buckeye (APT3) после того, как они, вероятно, нашли и перенаправили инструмент, а также, как сообщалось, использовались как часть банковского трояна Retefe с тех пор, как минимум 5 сентября 2017 г.
EternalBlue был одним из нескольких использованных эксплойтов в сочетании с инструментом для бэкдора DoublePulsar .
Подробности
EternalBlue использует уязвимость в реализации протокола Server Message Block (SMB) Microsoft . Эта уязвимость обозначена записью CVE - 2017-0144 в каталоге Common Vulnerabilities and Exposures (CVE). Уязвимость существует из-за того, что сервер SMB версии 1 (SMBv1) в различных версиях Microsoft Windows неправильно обрабатывает специально созданные пакеты от удаленных злоумышленников, позволяя им выполнять произвольный код на целевом компьютере.
АНБ не предупреждало Microsoft об уязвимостях и удерживало их более пяти лет, прежде чем взлом заставил его действовать. Затем агентство предупредило Microsoft после того, как узнало о возможной краже EternalBlue, что позволило компании подготовить программный патч, выпущенный в марте 2017 года, после отсрочки регулярного выпуска патчей безопасности в феврале 2017 года. Во вторник , 14 марта 2017 года, Microsoft выпустила бюллетень по безопасности MS17. -010, в котором подробно описан недостаток и объявлено, что были выпущены исправления для всех версий Windows, которые в настоящее время поддерживаются в то время, это Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 и Windows. Сервер 2016 .
Многие пользователи Windows не установили патчи, когда два месяца спустя, 12 мая 2017 года, атака программы-вымогателя WannaCry использовала уязвимость EternalBlue для распространения. На следующий день (13 мая 2017 г.) Microsoft выпустила экстренные исправления безопасности для неподдерживаемых Windows XP , Windows 8 и Windows Server 2003 .
В феврале 2018 года EternalBlue был перенесен на все операционные системы Windows, начиная с Windows 2000 , исследователем безопасности RiskSense Шоном Диллоном. EternalChampion и EternalRomance , два других эксплойтов , первоначально разработанные в АНБ и просочились на теневой ПОВ , также были перенесены на том же мероприятии. Они были доступны в виде модулей Metasploit с открытым исходным кодом .
В конце 2018 года миллионы систем все еще были уязвимы для EternalBlue. Это привело к ущербу в миллионы долларов, в основном из-за червей-вымогателей. После масштабного воздействия WannaCry и NotPetya, и BadRabbit нанесли ущерб на сумму более 1 миллиарда долларов в более чем 65 странах, используя EternalBlue либо в качестве исходного вектора компрометации, либо как метод бокового движения.
В мае 2019 года город Балтимор столкнулся с кибератакой цифровых вымогателей; атака заморозила тысячи компьютеров, отключила электронную почту и помешала продаже недвижимости, счетам за воду, предупреждению о состоянии здоровья и многим другим службам. Николь Перлрот, писатель для New York Times , первоначально приписала эту атаку EternalBlue; в мемуарах, опубликованных в феврале 2021 года, Перлрот пояснил, что EternalBlue не несет ответственности за кибератаку в Балтиморе, при этом критикуя других за указание на «технические детали того, что в данном конкретном случае атака вымогателя не распространилась с помощью EternalBlue».
С 2012 года четыре главных информационных директора города Балтимор были уволены или ушли в отставку; двое остались под следствием. Некоторые исследователи безопасности заявили, что ответственность за нарушение в Балтиморе лежит на городе, который не обновил свои компьютеры. Консультант по безопасности Роб Грэм написал в своем твите: «Если в организации имеется значительное количество компьютеров с Windows, которые уже два года не имеют исправлений, то это прямая вина организации, а не EternalBlue».
Обязанность
По заявлению Microsoft , именно АНБ США несет ответственность за свою противоречивую стратегию не раскрытия, а накопления уязвимостей. Стратегия помешала Microsoft узнать (и впоследствии исправить) эту ошибку и, предположительно, другие скрытые ошибки.
EternalRocks
EternalRocks или MicroBotMassiveNet - компьютерный червь , заражающий Microsoft Windows. Он использует семь эксплойтов, разработанных АНБ. Для сравнения: программа- вымогатель WannaCry , заразившая 230000 компьютеров в мае 2017 года, использует только два эксплойта АНБ, что заставляет исследователей полагать, что EternalRocks значительно более опасен. Червь был обнаружен через приманку .
Инфекционное заболевание
EternalRocks сначала устанавливает Tor , частную сеть, скрывающую активность в Интернете, для доступа к своим скрытым серверам. После короткого 24-часового « инкубационного периода » сервер затем отвечает на запрос вредоносной программы, загружая и самовоспроизводясь на « хост- машине».
Вредоносная программа даже называет себя WannaCry, чтобы ее не обнаружили исследователи. В отличие от WannaCry, EternalRocks не имеет аварийного отключения и не является программой-вымогателем.
Смотрите также
- BlueKeep (уязвимость безопасности) - аналогичная уязвимость
- Петя (вредоносное ПО)
использованная литература
дальнейшее чтение
- Гроссман, Надав (29 сентября 2017 г.). «EternalBlue - все, что нужно знать» .