Win10也沦陷,如何应对永恒之蓝?
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月9日讯 据报道,白帽子黑客已经将“永恒之蓝”利用到Windows 10,这意味着,未打补丁的所有Microsoft操作系统都有可能被攻击影响。
更新MS17-010补丁,很重要
RiskSense网络安全研究小组是首批研究“永恒之蓝”、DoublePulsar后门有效载荷以及NSA Fuzzbunch平台的研究团队。他们表示,不会发布Windows 10“永恒之蓝”端口的源代码。
自“影子经纪人”四月泄露“方程式组织”针对Windows XP和Windows 7 的黑客工具以来,RiskSense网络安全研究小组一直在研究PoC,并在WannaCry勒索病毒爆发后两天(2017年5月14日)完成了基于“永恒之蓝”的Metasploit 漏洞利用模块。研究人员表示,应对“永恒之蓝”的最佳防御措施依然是应用Microsoft三月提供的MS17-010更新。
RiskSense网络安全研究小组研究过程
当地时间周二,研究人员发布报告阐述了将“永恒之蓝”引入Windows 10的必要性,并检验了Microsoft采用的缓解措施。
这项研究仅供安全人员理解并认识这些漏洞利用,从而开发新技术,以防止此类攻击以及未来的攻击。该研究可以帮助防御者更好地理解该漏洞利用链,以构建针对该漏洞利用的防御措施。但资深研究分析师肖恩·迪隆表示,他们省略了仅对攻击者有用的某些细节。
Metasploit模块与新Windows端口是完全分离的。
Metasploit模块是“永恒之蓝”的缩减版,减少了所涉及的网络流量,因此可以绕过自这批NSA工具泄露以来安全公司和美国政府推荐使用的许多入侵检测系统。此外,Metasploit模块还删除了DoublePulsar后门。DoublePulsar是Fuzzbunch平台中所有漏洞利用扔下的内核级漏洞利用。
迪隆指出,许多安全公司对DoublePulsar倾注了过多不必要的关注。DoublePulsar分散了研究人员和防御者的注意力。
研究人员证明,创建新的有效载荷就能直接加载恶意软件,无需首先安装DoublePulsar后门。因此,未来防御这些工具不应只关注DoublePulsa,还应关注能发现并阻止的部分。
新端口针对的是基于64位系统的Windows 10 Version 1511(Threshold 2)。
研究人员能绕过Windows 10引入的缓解措施(Windows XP、Windows7、Windows8中不存在),并挫败“永恒之蓝”的DEP和ASLR绕过技术。为了转移到Windows 10,研究人员必须创建新的DEP绕过技术。
RiskSense在报告中提到新攻击的细节,包括新的有效载荷替代DoublePulsar。迪隆称密码不安全,任何人都可以加载二级恶意软件,WannaCry就是这种情况。RiskSense的新有效载荷无需后门,允许执行用户模式有效载荷的异步过程调用(APC)。APC可以“借用”闲置可报警的进程线程,当其依赖Offset结构函数在Windows版本之间发生变化时,APC是退出推出内核模式,进入用户模式最可靠、最简单的方式之一。
NSA或早就能用“永恒之蓝”攻击Windows10
影子经纪人泄露的是NSA过去使用的黑客工具,并非NSA当前的网络武器。到目前为止,NSA很有可能掌握着Win 10版的“永恒之蓝”,但是直到今天,这样的选择并未向防御者提供。与此同时,“永恒之蓝”仍是公之于众的最复杂攻击之一。
有人认为,这批NSA文件被泄露前一个月,NSA已提醒Microsoft “影子经纪人”即将放出的漏洞,以便为Microsoft预留时间构建、测试并部署MS17-010。
迪隆表示,真正只有少数人能写出原始“永恒之蓝”漏洞利用,但它现在就暴露在网上,人们可以研究原始的漏洞利用及其使用的技术。这为许多业余黑客打开了“知识”大门。要使用缓冲区溢出导致程序崩溃很容易,但执行代码相对较难。因此,无论谁编写了原始的“永恒之蓝”漏洞利用,此人肯定通过大量实验发现了将崩溃转化为执行代码的最佳途径。
“永恒之蓝”为攻击者提供能力执行即时的远程未验证Windows代码执行攻击,这种能力是供黑客任意支配的最佳漏洞利用类型。开发人员肯定在此漏洞利用方面取得大量新突破。
当研究人员将永恒之蓝”漏洞利用的目标添加到Metasploit时,需要将大量代码添加到Metasploit,使其支持针对64位系统的远程内核漏洞利用,而原始的漏洞利用还针对32位系统。迪隆认为这种“壮举”令人惊叹。
当谈论针对Windows内核的堆喷射(Heap Spray)攻击,这种攻击可能是最深奥的攻击类型之一,而该漏洞利用针对的是Windows,没有可获取的源代码。在Linux上执行类似的堆喷射攻击也困难,但相对要简单得多。
企业如何应对?
尽管使用户应升级到Windows 10 最新版本依然是目前抵御“永恒之蓝”的最佳方式,但迪隆强调,即使用户应升级到Windows 10 最新版本,光靠打补丁仍不足以完全抵御这类威胁。
E安全建议使用SMB服务的企业应开启防火墙,并为需要从外部访问内部网络网络的用户设置VPN访问。企业应详细罗列网络上的软件和设备,并提供识别并部署补丁的程序。当攻击者迅速从补丁转移到漏洞利用时,这些措施将尤为重要。
相关阅读:
早在WannaCry之前 至少存在3个组织利用永恒之蓝发起攻击;
新蠕虫“永恒之石”来势汹汹:利用NSA七大黑客工具
E安全要闻简讯
官网:www.easyaq.com
2017年6月