Изминаха няколко месеца откакто EternalBlue беше оповестен публично. Дали от него са се възползвали много хора? Или само създателите на WannaCry?
За да отговорим на този въпрос, нека разгледаме хронологията на уязвимостта, която даде път към EternalBlue.
25-ти октомври, 2001г.: Microsoft пуска Windows XP (една от най-успешните операционни системи на компанията). Тя съдържа обаче критична уязвимост, която се вижда и във следващите по-нови версии на операционната система Windows.
14-ти Март 2017г. – От Microsoft публикуват актуализация, която посочва тази уязвимост като MS17-010
14-ти Април 2017г. – групировката ShadowBrokers – публикуват експлойт (exploit) с име EternalBlue. Този експлойт използва уязвимоста MS 17-010, посочена от Microsoft. Ескплойтът е част от арсенал за кибер оръжия на американската NSA.
12-ти Май 2017г. – Появава се зловреден код с име WannaCry – мрежови червей, които използва техниките в експлойта EternalBlue, за да се разпространява на компютри без знанието на ползвателя и да изпълнява криптовируси на компрометираните машини.
Опасността WannaCry получава цялото внимание, но това не е единствената атака, използваща EternalBlue. Най-вероятно няма да бъде и последната.
От Panda Security наблюдаваме нова атака, която използва експлойта, но по съвсем различен начин и с друга цел. След обстоен анализ на събраните доказателства стигнахме до заключението, че поне една хакерска групировка е използвала уявимостта MS17-010 след 24 – Април 2017г. Това е седмица преди появата на WannaCry!
Атакуващите са успели да се промъкнат в потребителски компютри, но вместо да дистрибутират и инсталират зловреден код, те са използвали друга тактика. След успешното пускане на експлойта през SMB протокола, атакуващите използват код на ниво ядро на операционната система, за да инжектират свой код в легитимния процес на Windows „lsass.exe“. Въпросния процес се зарежда със стартирането на операционната система. При WannaCry се зарежда зловреден код директно във въпросният процес. Тук обаче се наблюдава по различно поведение.
Чрез този процес, атакуващия може да изпълни различни команди, за да си осигури контрол над компютърната система. Повечето действия се извършват с вградените в операционната система инструменти, като по този начин се избягва засичането от традиционните антивирусни решения. След като се осигури контрол над системата, могат например да се създават нови потребители, да се свалят компононети на инструмнетите, които се ползват, да се задават различни планирани задачи и др.
Също така наблюдаваме и развитие в действията, които се прилагат в последствие от атакуващите.
Например след поемане на контрол на дадена машина, атакуващите затварят порт 445, за да предотвратят използването на същата уязвимост от конкурентна хакерска групировка.
Парадоксалното е, че по този начин атакуващите „затварят“ възможността други компютри да бъдат заразявани с WannaCry.
Една от основните цели на атаката е да се инсталира софтуер за „копаене“ на крипто-валути. В случая използваната валута е била “Monero”, за който се смята, че ще придобие по-голяма популярност и от bitcoin валутата.
Системата за кибер сигурност Panda Adaptive Defense 360, разполага с модул за засичане и изтриване на зловреден код, използван за“копаене“ на крипто-валути.
Източник: Panda Security
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
www.antivirus.bg
support@antivirus.bg