EternalBlue: что известно о самом громком эксплойте в истории

Россия заняла второе место по количеству систем, которые остаются уязвимыми перед критически опасным эксплойтом. Как работает EternalBlue и чем он может грозить российским компаниям – читайте в материале Cyber Media.

EternalBlue – это эксплойт для Windows, который был создан в Агентстве национальной безопасности США (АНБ), откуда в 2016 году его украли хакеры из группировки Shadow Brokers. Дальнейшие события охватили весь мир: эпидемия шифровальщика WannaCry, атаки вымогателей на крупнейшие мировые компании, финансовые организации и целые города. АНБ в течение пяти лет скрывало от Microsoft информацию об EternalBlue, и только утечка эксплойта заставила его рассказать об уязвимости. Тем не менее публично подробности о взломе и EternalBlue не разглашались.

Технически EternalBlue обладает возможностями червя, что позволяет вредоносной программе распространяться внутри сетей без действий со стороны пользователя. Именно эта функция помогла злоумышленникам быстро и эффективно компрометировать уязвимые системы.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

У наших клиентов встречались компоненты информационной инфраструктуры, уязвимые к эксплойту Eternal Blue. Обычно это машины, которые не имеют доступа во внешнюю сеть Интернет, и, следовательно, считающиеся «безопасными» и «недоступными» для злоумышленников. Однако, мы как специалисты по информационной безопасности часто обращали внимания клиентов на такого рода уязвимости и поднимали их приоритет.

Эксплойт использует уязвимость протокола SMB (Server Message Block) – это стандартный сервис Windows, который обеспечивает соединение между участниками корпоративной сети. Злоумышленники научились добавлять к пакетам данных, идущим по SMB, вредоносное ПО: трояны, шифровальщики и т.д.

В крупной организации сетевая архитектура включает огромное количество взаимосвязанных систем: серверы, рабочие станции, IoT-устройства, мобильные гаджеты. Если в этой сети есть Windows без патча против EternalBlue, этого достаточно, чтобы поразить всю инфраструктуру.

Сергей Беспалов

Руководитель департамента информационной безопасности ИМБА ИТ

По нашему мнению, в свое время почти все крупные организации в России так или иначе столкнулись с EternalBlue... Зачастую после такого вирусного заражения компании в 2017 году стали заниматься выстраиванием процесса управления уязвимостями и патч-менеджментом.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Огромное количество пользователей не спешит устанавливать обновления на свои собственные компьютеры, а в небольших организациях за этим просто некому следить. Процесс обновлений даже в организации среднего размера требует грамотного планирования, а на это зачастую просто нет ресурсов.

Как проходит атака с применением Eternal Blue

На первом этапе злоумышленнику нужно найти себе цель. Для этого он может использовать инструменты сканирования интернета, такие как Nmap или Shodan, применять методы таргетированного фишинга или социальной инженерии.

Для автоматизации этих операций существуют крупные платформы с инструментами для тестирования на проникновение и проведения атак. Например, одна из таких платформ Metasploit Framework представляет собой модульную систему с функциями проверки уязвимостей, прощупывания сетей, выполнения атак и уклонения от обнаружения.

При обнаружении подходящей цели злоумышленник отправляет уязвимой системе пакет данных с вредоносным кодом, который запускает эксплойт. Технически EternalBlue работает на сочетании трех разных ошибок ОС: сначала провоцируя целочисленное переполнение, что в свою очередь приводит к переполнению буфера, и позволяет применить на последнем шаге heap spraying. В итоге злоумышленник может выполнить шелл-код и получить контроль над системой.

Следующий этап – разведка. Взломщик исследует сеть, ищет уязвимые системы и другие потенциальные цели. На этом этапе он может собрать учетные записи со слабыми паролями или данными по умолчанию, внедрить кейлоггер, чтобы перехватывать информацию пользователей с высокими привилегиями, или шифровальщик-вымогатель.

Злоумышленник будет действовать скрытно, избегая обнаружения и запутывая свою деятельность. На протяжении всего этого процесса подозрительный трафик скрывается с помощью шифрования и туннелирования. В большинстве случаев компания узнает об атаке, когда сделать что-либо уже нельзя.

Насколько EternalBlue актуальна сегодня

По открытым данным, в интернете есть более 4300 операционных систем с уязвимостью EternalBlue. Топ-10 стран выглядит так:

1. Тайвань – 651
2. Россия – 488
3. США – 470
4. Индия – 308
5. Япония – 179
6. Франция – 153
7. Германия – 130
8. Нидерланды – 125
9. Мексика – 113
10. Бразилия – 99

Эксперты отмечают, что сами по себе эти цифры не обязательно говорят о реальной угрозе. «Весьма вероятно, что в список этих «уязвимых» машин также входят ложноположительные результаты и т.н. honeypots, – сказал Александр Зубриков, генеральный директор ITGLOBAL.COM Security. – Это намеренно уязвимые устройства, созданные, чтобы запутать потенциального злоумышленника, замедлить его, собрать данные об атакующем ПО и уведомить об атаке защищающуюся сторону».

Сергей Беспалов

Руководитель департамента информационной безопасности ИМБА ИТ

Причины того, что Россия находится на втором месте по числу непропатченных устройств, могут быть разнообразными. Это может быть связано с недостаточной информированностью, отсутствием выстроенного процесса обновлений, из-за экономии могут использоваться устаревшие операционные системы.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

По нашему опыту, данная уязвимость часто встречается в организациях, использующих специфическое, старое ПО, которое работает под управлением старых ОС. Замена или обновление ОС с таким ПО может оказаться чревато для бизнеса компании, поэтому они и не спешат с обновлениями.

[Однако] т.к. в 2017 году Microsoft выпустила патчи для всех уязвимых версий ОС, включая на тот момент неподдерживаемые Windows XP, Windows Server 2003 и Windows 8, патчинг уязвимых устройств несложен даже для очень старых версий ОС.

Обновление инфраструктуры будет проблемой для любой организации. У небольших не хватит ресурсов, средние могут сильнее почувствовать финансовые издержки, а крупным приходится думать о влиянии уязвимостей на бизнес-процессы.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Задача по обновлению ПО зачастую имеет низкий приоритет, так как она весьма трудоёмка, нужны квалифицированные люди, которые смогут в короткие сроки выполнить работу, не нарушая существующих бизнес-процессов. Краткосрочная выгода, по мнению бизнеса, неочевидна или вовсе отсутствует. А с точки зрения информационной безопасности, напротив.

Также палки в колеса регулярным обновлениям ставит использование собственных модификаций рабочего ПО и «программных костылей». Такие решения позволяют быстро решить проблемы в эксплуатации ПО, но в долгосрочной перспективе могут вызывать труднолокализуемые баги, усложняют освоение для новых сотрудников, и, конечно, конфликтуют с новыми версиями ПО. Приходится либо разбираться в закрытой и забытой задаче, искать адекватное решение, либо возвращаться в порочный круг и писать новый «костыль».

Эксперты говорят, что упростить обновление важного ПО помогают тестовые зоны, где команда специалистов может заранее отработать внедрение и масштабирование актуальных версий. Из тестовой зоны процесс переходит на ограниченное количество пользователей, а затем уже на все компьютеры в организации.

«[При таком подходе] между тестированием и установкой может пройти значительное время, и вероятность пропустить атаку на инфраструктуру возрастает, – отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис». –  Но риски спешной установки обновлений слишком велики, поэтому тестовые зоны – это правильный подход».

Повод запланировать обновление инфраструктуры

Даже если конкретно EternalBlue сейчас не представляет угрозы, количество уязвимых систем, которые сейчас остаются онлайн, поднимает важный вопрос: какие еще уязвимости прошлых лет остаются актуальными, несмотря на давно выпущенные патчи?

Растущее число атак – весомый повод задуматься о безопасности корпоративного периметра. С 2022 году утечки, случаи мошенничества или дефейса сайтов происходили в самых разных организациях. И если компания долго пренебрегала обновлениями своего ПО, это повышает вероятность инцидентов в инфраструктуре.