Главная » Блоги Экспертов И ИТ-Компаний » Не только WannaCry: эксплойт EternalBlue порождает новые атаки

Не только WannaCry: эксплойт EternalBlue порождает новые атаки

После того как EternalBlueбыл опубликован, кто-нибудь еще воспользовался им? Или только создатели WannaCry? Прежде чем ответить на данный вопрос, давайте взглянем на историю уязвимости, которая дала путь эксплойту EternalBlue.

25 октября 2001 г: Microsoftвыпускает операционную систему WindowsXP, которая стала одной из самых успешных проектов компании. Она содержит критическую уязвимость (о которой никто не знает), которая позже передалась всем будущим версиям операционной системы.

14 марта 2017 г.: Microsoftопубликовал обновление, которое устраняет данную уязвимость S17-010.

14 апреля 2017 г.: Группа ShadowBrokersопубликовала эксплойт EternalBlueиз состава кибер-арсенала АНБ, который позволяет эксплуатировать данную уязвимость.

12 мая 2017 г.: Появился WannaCry - сетевой червь, который использует EternalBlueдля распространения и запуска шифровальщика на скомпрометированных компьютерах.

WannaCryсумел привлечь внимание всех без исключения, однако это не первая атака, в рамках которой использовался эксплойт EternalBlue, и, возможно, далеко не последняя. На самом деле, мы в антивирусной лаборатории PandaLabsнедавно наблюдали новую атаку, которая использует эксплойт для совершенно других целей. После проведения тщательного анализа, мы получили доказательства того, что как минимум одна группа кибер-преступников эксплуатировала данную уязвимость с 24 апреля 2017 года, за несколько недель до появления WannaCry.

Злоумышленники использовали брешь в безопасности для проникновения на чужие компьютеры, но вместо установки вредоносной программы они использовали другую тактику.

После успешного запуска эксплойта через протокол SMB, злоумышленники использовали код ядра, чтобы внедрить себя в процесс “lsass.exe”, который всегда присутствует в системах Windows. В отличие от атаки WannaCry, которая напрямую внедряет вредоносный код в процесс, в этом случае хакеры использовали его другим способом:

Через этот процесс злоумышленники привели в действие широкий набор команд, чтобы гарантировать «выживаемость». Большинство действий выполнено с помощью собственных утилит Windows или других невредоносных инструментов, что позволило им избежать обнаружения со стороны традиционных антивирусных решений.

Затем они смогли, например, создать нового пользователя, загрузить компоненты используемых ими утилит, остановить работу старых версий утилит, которые были установлены ранее, прописать все необходимое в автозагрузку для повышения «выживаемости», запланировать выполнение требуемых действий…

Утилита анализа поведения приложений от PandaAdaptiveDefense.

Мы также смогли проверить динамику действий, которые были выполнены этой группой злоумышленников. Например, после получения контроля, они закрыли порт 445 для предотвращения случаев эксплуатации уязвимости MS17-010 другими хакерами.

Как это ни парадоксально, злоумышленники невольно помогли своим жертвам, т.к. этот шаг не позволил заразить другие компьютеры червем WannaCry.

Одна из целей данной атаки заключалась в установке программного обеспечения, необходимого для майнинга криптовалюты «Monero», которая является аналогом хорошо известного Bitcoin.

Наконец, мы увидели, как оно было установлено в качестве службы и запустило программу для майнинга:

 

Данная атака также не была проблемой для AdaptiveDefense, т.к. помимо множества различных технологий, данное решение оснащено поведенческими технологиями обнаружения BitcoinMiner.

 

Оригиналстатьи: Not Just WannaCry: the EternalBlue Exploit Gives Rise to More Attacks

 

Panda Security в России

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 http://www.pandasecurity.com

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

Panda Security – это лидирующая испанская мультинациональная компания, предлагающая решения с функциями расширенной информационной безопасности, а также инструменты управления и мониторинга. С момента своего создания в 1990 году, Panda неизменно выделяется своим новаторским подходом, позволившим компании создать ряд наиболее важных разработок в сфере информационной безопасности.

В настоящий момент компания сосредоточена на развитии стратегий и технологий расширенной защиты. Panda Security имеет офисы в более чем 80 странах мира, ее продукты переведены на 23 языка и используются свыше 30 миллионами пользователей во всем мире.

https://www.cloudav.ru

 

 


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>