Мәңгілік көк - EternalBlue

Мәңгілік қанау
Жалпы атыМәңгілік
Техникалық атауы
  • Көк нұсқасы
  • Rocks Variant
  • Синергия варианты
    • Win32 / Exploit.Equation.EternalSynergy (ESET ) [5]
ТүріҚанау
Автор (лар)Теңдеу тобы
Амалдық жүйе зардап шеккенWindows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP

Мәңгілік көк[6] Бұл кибершабуыл пайдалану әзірлеген АҚШ Ұлттық қауіпсіздік агенттігі (NSA).[7] Ол арқылы ағып кетті Көлеңке брокерлері хакерлер тобы 2017 жылдың 14 сәуірінде, Microsoft патчтарды шығарғаннан кейін бір ай өткен соң осалдық.

2017 жылы 12 мамырда бүкіл әлем бойынша WannaCry төлем бағдарламасы бұл эксплуатацияны патчсыз компьютерлерге шабуыл жасау үшін қолданды.[6][8][9][10][11][12]:1 2017 жылы 27 маусымда эксплуатация қайтадан іске асырылуға көмектесті 2017 NotPetya кибершабуылы жөнделмеген компьютерлерде.[13]

Бұл эксплуатацияны 2016 жылдың наурыз айынан бастап қытайлық хакерлік топ қолданған деп хабарлады Бакай (APT3), олар, мүмкін, құралды тауып, қайта ойластырғаннан кейін,[12]:1 сонымен қатар Retefe банкингінің бөлігі ретінде қолданылғандығы туралы хабарлады троян кем дегенде 2017 жылғы 5 қыркүйектен бастап.[14]

EternalBlue бірге қолданылған бірнеше эксплойттардың бірі болды DoublePulsar артқы есік имплантация құралы.[15]

Егжей

EternalBlue осалдығын пайдаланады Microsoft жүзеге асыру Сервердің хабарлама блогы (SMB) хаттамасы. Бұл осалдық енгізу арқылы белгіленеді CVE -2017-0144[16][17] ішінде Жалпы осалдықтар мен әсер ету (CVE) каталогы. Осалдық әр түрлі нұсқалардағы SMB 1-нұсқасы (SMBv1) сервері болғандықтан орын алады Microsoft Windows мақсатты компьютерде ерікті кодты орындауға мүмкіндік беретін қашықтағы шабуылдаушылардан арнайы жасалған пакеттерді дұрыс пайдаланбайды.[18]

NSA осалдықтар туралы Майкрософтқа ескерту жасамады және оны бұзу қолды мәжбүр еткенге дейін бес жылдан астам уақыт бойы ұстап тұрды. Содан кейін агенттік Microsoft корпорациясына EternalBlue ұрлауы мүмкін екенін біліп, компанияға 2017 жылдың наурызында шығарылған бағдарламалық жасақтама патчын дайындауға мүмкіндік беріп, ескерту жасады,[19] оның қауіпсіздігін жүйелі түрде шығаруды кейінге қалдырғаннан кейін патчтар 2017 жылдың ақпанында.[20] Қосулы Сейсенбі, 2017 жылғы 14 наурыз, Microsoft MS17-010 қауіпсіздік бюллетенін шығарды,[21] ол кемшілікті егжей-тегжейлі айтып, оны жариялады патчтар қазіргі уақытта қолдауға ие болған Windows-тың барлық нұсқалары үшін шығарылды Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, және Windows Server 2016.[22][23]

Көптеген Windows пайдаланушылары екі айдан кейін 2017 жылдың 12 мамырында патчтарды орнатпаған WannaCry төлем бағдарламасына шабуыл өзін-өзі тарату үшін EternalBlue осалдығын пайдаланды.[24][25] Келесі күні (2017 жылғы 13 мамырда) Microsoft қолдау көрсетілмегендерге арналған төтенше қауіпсіздік патчтарын шығарды Windows XP, Windows 8, және Windows Server 2003.[26][27]

2018 жылдың ақпанында EternalBlue барлық Windows операциялық жүйелеріне көшірілді Windows 2000 арқылы RiskSense қауіпсіздік зерттеушісі Шон Диллон. Мәңгілік Чемпион және EternalRomance, бастапқыда NSA әзірлеген және басқа екі эксплуатация Көлеңке брокерлері, сондай-ақ сол іс-шара өткізілді. Олар қол жетімді болды ашық көзден алынған Metasploit модульдер.[28]

2018 жылдың соңында миллиондаған жүйелер әлі күнге дейін EternalBlue алдында осал болды. Бұл, ең алдымен, төлем құрттары салдарынан миллиондаған доллар шығынға әкелді. Жаппай әсерінен кейін WannaCry, екеуі де NotPetya және Жаман қоян EternalBlue-ді бастапқы ымыралы вектор ретінде немесе бүйірлік қозғалыс әдісі ретінде пайдаланып, 65-тен астам елде 1 миллиард доллардан астам шығын келтірді.[29]

2019 жылдың мамырында қала Балтимор сандық бопсалаушылардың EternalBlue көмегімен кибершабуылмен күресті. Шабуыл мыңдаған компьютерлерді қатырып тастады, электрондық поштаны жауып тастады және жылжымайтын мүліктің сатылымы, су төлемдері, денсаулық туралы ескертулер және көптеген басқа қызметтер үзілді.[30] 2012 жылдан бастап Балтимор қаласының төрт бас ақпараттық қызметкері жұмыстан шығарылды немесе отставкаға кетті; тергеу кезінде екеуі қалды.[31] Кейбір қауіпсіздік зерттеушілері Балтиморды бұзғаны үшін жауапкершілік компьютерлерін жаңартпағандық үшін қалаға жүктелгенін айтты. Қауіпсіздік жөніндегі кеңесші Роб Грэхэм өзінің твиттерінде: «Егер ұйымда 2 жыл патчсыз өткен Windows машиналарының едәуір саны болса, онда бұл ұйымның кінәсі, EternalBlue емес» деп жазды.[32]

Жауапкершілік

Сәйкес Microsoft, бұл Америка Құрама Штаттарына тиесілі болды NSA осал тұстарын ашпау, бірақ жинақтау туралы даулы стратегиясы себеп болды. Стратегия Microsoft корпорациясына осы қатені және, мүмкін, басқа жасырын қателерді білуге ​​(және кейіннен жамауға) мүмкіндік бермеді.[33][34]

EternalRocks

EternalRocks немесе MicroBotMassiveNet Бұл компьютерлік құрт Microsoft Windows-қа зиян келтіреді. Мұнда NSA әзірлеген жеті эксплуатация қолданылады.[35] Салыстырмалы түрде, WannaCry төлем бағдарламасы 2017 жылдың мамырында 230 000 компьютерге вирус жұқтырған бағдарлама NSA-ның екі эксплуатациясын пайдаланады, бұл зерттеушілерге EternalRocks-ті айтарлықтай қауіпті деп санайды.[36] Құрт арқылы табылды бал құты.[37]

Инфекция

EternalRocks бірінші орнатады Тор, Интернет қызметін жасыратын жеке желі, оның жасырын серверлеріне қол жеткізу үшін. 24 сағаттан кейін »инкубация мерзімі ",[35] содан кейін сервер зиянды бағдарламаның сұранымына «жүктеу және өзін-өзі көбейту арқылы жауап береді»хост «машина.

Қауіпсіздік зерттеушілері анықтамас үшін зиянды бағдарлама тіпті WannaCry деп атайды. WannaCry-ден айырмашылығы, EternalRocks а-ға ие емес сөндіргіш және төлем құралы емес.[35]

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ «Троян: Win32 / EternalBlue қатерінің сипаттамасы - Microsoft Security Intelligence». www.microsoft.com.
  2. ^ «TrojanDownloader: Win32 / Eterock. Қауіп сипаттамасы - Microsoft Security Intelligence». www.microsoft.com.
  3. ^ «Тәуекел анықталды». www.broadcom.com.
  4. ^ «TROJ_ETEROCK.A - Қауіп энциклопедиясы - Trend Micro USA». www.trendmicro.com.
  5. ^ «Win32 / Exploit.Equation.EternalSynergy.A | ESET Virusradar». www.virusradar.com.
  6. ^ а б Гудин, Дэн (14 сәуір, 2017). «NSA-дан шыққан Shadow Brokers компаниясы өзінің ең зиянды шығарылымын тастады». Ars Technica. б. 1. Алынған 13 мамыр, 2017.
  7. ^ Накашима, Эллен; Тимберг, Крейг (2017 ж. 16 мамыр). «NSA шенеуніктері оның күшті хакерлік құралы босап қалатын күн туралы алаңдады. Содан кейін ол солай болды». Washington Post. ISSN  0190-8286. Алынған 19 желтоқсан, 2017.
  8. ^ Фокс-Брюстер, Томас (12 мамыр, 2017). «NSA кибер қаруы ғаламдық төлем программасының жаппай басталуы мүмкін». Forbes. б. 1. Алынған 13 мамыр, 2017.
  9. ^ Гудин, Дэн (12 мамыр, 2017). «NSA-дан алынған төлем программасы құрты бүкіл әлемдегі компьютерлерді өшіреді». Ars Technica. б. 1. Алынған 13 мамыр, 2017.
  10. ^ Гхош, Агамони (2017 жылғы 9 сәуір). "'Президент Трамп сіз не істейсіз «Shadow Brokers» және NSA хакерлік құралдарын көбірек тастаңыз «. International Business Times Ұлыбритания. Алынған 10 сәуір, 2017.
  11. ^ "'Shadow Brokers хакерлік тобы шығарған NSA зиянды бағдарламасы «. BBC News. 10 сәуір, 2017. Алынған 10 сәуір, 2017.
  12. ^ а б Гринберг, Энди (7 мамыр, 2019). «NSA нөлдік күннің таңғажайып саяхаты - көптеген жаулардың қолына». Сымды. Мұрағатталды түпнұсқадан 12 мамыр 2019 ж. Алынған 19 тамыз, 2019.
  13. ^ Перлрот, Николь; Скотт, Марк; Френкель, Шира (27.06.2017). «Кибершабуыл Украинаны ұрып, халықаралық деңгейде таралады». The New York Times. б. 1. Алынған 27 маусым, 2017.
  14. ^ «Retefe Banking трояндық науқанында қолданылатын мәңгілік көк түс». Қауіпсіздік посты. Алынған 26 қыркүйек, 2017.
  15. ^ «stamparm / EternalRocks». GitHub. Алынған 25 мамыр, 2017.
  16. ^ «CVE-2017-0144». CVE - жалпы осалдықтар мен әсер ету. MITER корпорациясы. 2016 жылғы 9 қыркүйек. 1. Алынған 28 маусым, 2017.
  17. ^ «Microsoft Windows SMB Server CVE-2017-0144 кодының қашықтан орындалуының осалдығы». SecurityFocus. Symantec. 2017 жылғы 14 наурыз. 1. Алынған 28 маусым, 2017.
  18. ^ «WannaCryptor төлемдік бағдарламасы SMB-де осалдық CVE-2017-0144 жергілікті желіге тарату үшін пайдаланды». ESET Солтүстік Америка. Мұрағатталды түпнұсқадан 2017 жылғы 16 мамырда. Алынған 16 мамыр, 2017.
  19. ^ «NSA шенеуніктері оның күшті хакерлік құралы босап қалатын күн туралы алаңдады. Содан кейін ол солай болды». Алынған 25 қыркүйек, 2017.
  20. ^ Уоррен, Том (15 сәуір, 2017). «Microsoft қазірдің өзінде NSA-ның Windows хакерлерін жіберіп алды». Жоғарғы жақ. Vox Media. б. 1. Алынған 25 сәуір, 2019.
  21. ^ «Microsoft Security Bulletin MS17-010 - маңызды». technet.microsoft.com. Алынған 13 мамыр, 2017.
  22. ^ Цимпану, Каталин (2017 ж. 13 мамыр). «Microsoft Wana Decrypt0r-дан қорғау үшін ескі Windows нұсқаларына патч шығарды». Ұйқыдағы компьютер. Алынған 13 мамыр, 2017.
  23. ^ «Windows Vista өмірлік циклі саясаты». Microsoft. Алынған 13 мамыр, 2017.
  24. ^ Ньюман, Лили Хэй (12.03.2017). «Ransomware Meltdown сарапшылары ескертті». wired.com. б. 1. Алынған 13 мамыр, 2017.
  25. ^ Гудин, Дэн (15 мамыр, 2017). «Декриптор Wanna: NSA-дан алынған төлем құралы бүкіл әлемдегі компьютерлерді өшіреді». Ars Technica Ұлыбритания. б. 1. Алынған 15 мамыр, 2017.
  26. ^ Сурур (13 мамыр, 2017). «Microsoft қолдау көрсетілмеген Windows XP, Windows 8 және Windows Server 2003 үшін Wannacrypt патчын шығарды». Алынған 13 мамыр, 2017.
  27. ^ MSRC командасы. «WannaCrypt шабуылдары үшін тұтынушыларға арналған нұсқаулық». microsoft.com. Алынған 13 мамыр, 2017.
  28. ^ «NSA эксплуатациясы Windows 2000-ден бастап шығарылған барлық Windows нұсқаларында жұмыс істеуге арналған». www.bleepingcomputer.com. Алынған 5 ақпан, 2018.
  29. ^ «WannaCry-ден бір жыл өткен соң, мәңгілік көк түске бөлену бұрынғыдан да зор». www.bleepingcomputer.com. Алынған 20 ақпан, 2019.
  30. ^ Перлрот, Николь; Шейн, Скотт (25 мамыр, 2019). «Балтиморда және одан тыс жерлерде NSA ұрланған құралы Havoc-ты бұзады» - NYTimes.com арқылы.
  31. ^ Галлахер, Шон (28 мамыр, 2019). «Мәңгілік көк: Балтимор Сити басшылары төлем бағдарламасының шабуылына NSA кінәлі». Ars Technica.
  32. ^ Ректор, Ян Данкан, Кевин. «Балтимордың саяси көшбасшылары NSA құралы төлем құралымен шабуылдағаны туралы хабарламадан кейін брифинг іздейді». baltimoresun.com.
  33. ^ «Интернеттегі адамдардың қауіпсіздігін қамтамасыз ету үшін шұғыл ұжымдық шаралар қабылдау қажеттілігі: өткен аптадағы кибершабуылдан сабақ - Microsoft осы мәселелер бойынша». Мәселелер бойынша Microsoft. 2017 жылғы 14 мамыр. Алынған 28 маусым, 2017.
  34. ^ Титкомб, Джеймс (2017 ж. 15 мамыр). «Microsoft АҚШ үкіметін ғаламдық кибер шабуылға айыптайды». Телеграф. б. 1. Алынған 28 маусым, 2017.
  35. ^ а б c «Жаңа SMB Worm жеті NSA хакерлік құралын қолданады. WannaCry екі-ақ пайдаланды».
  36. ^ «EternalRocks» жаңа анықталған төлем бағдарламасы «WannaCry» - Tech2-ге қарағанда қауіпті «. Tech2. 2017 жылғы 22 мамыр. Алынған 25 мамыр, 2017.
  37. ^ «Мирослав Стампар Twitter-де». Twitter. Алынған 30 мамыр, 2017.

Әрі қарай оқу

Сыртқы сілтемелер