Win10也淪陷，如何應對永恆之藍？

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全6月9日訊 據報道，白帽子黑客已經將「永恆之藍」利用到Windows 10，這意味著，未打補丁的所有Microsoft操作系統都有可能被攻擊影響。

更新MS17-010補丁，很重要

RiskSense網路安全研究小組是首批研究「永恆之藍」、DoublePulsar後門有效載荷以及NSA Fuzzbunch平台的研究團隊。他們表示，不會發布Windows 10「永恆之藍」埠的源代碼。

自「影子經紀人」四月泄露「方程式組織」針對Windows XP和Windows 7 的黑客工具以來，RiskSense網路安全研究小組一直在研究PoC，並在WannaCry勒索病毒爆發後兩天（2017年5月14日）完成了基於「永恆之藍」的Metasploit 漏洞利用模塊。研究人員表示，應對「永恆之藍」的最佳防禦措施依然是應用Microsoft三月提供的MS17-010更新。

RiskSense網路安全研究小組研究過程

當地時間周二，研究人員發布報告闡述了將「永恆之藍」引入Windows 10的必要性，並檢驗了Microsoft採用的緩解措施。

這項研究僅供安全人員理解並認識這些漏洞利用，從而開發新技術，以防止此類攻擊以及未來的攻擊。該研究可以幫助防禦者更好地理解該漏洞利用鏈，以構建針對該漏洞利用的防禦措施。但資深研究分析師肖恩·迪隆表示，他們省略了僅對攻擊者有用的某些細節。

Metasploit模塊

Metasploit模塊與新Windows埠是完全分離的。

Metasploit模塊是「永恆之藍」的縮減版，減少了所涉及的網路流量，因此可以繞過自這批NSA工具泄露以來安全公司和美國政府推薦使用的許多入侵檢測系統。此外，Metasploit模塊還刪除了DoublePulsar後門。DoublePulsar是Fuzzbunch平台中所有漏洞利用扔下的內核級漏洞利用。

迪隆指出，許多安全公司對DoublePulsar傾注了過多不必要的關注。DoublePulsar分散了研究人員和防禦者的注意力。

研究人員證明，創建新的有效載荷就能直接載入惡意軟體，無需首先安裝DoublePulsar後門。因此，未來防禦這些工具不應只關注DoublePulsa，還應關注能發現並阻止的部分。

埠

新埠針對的是基於64位系統的Windows 10 Version 1511（Threshold 2）。

研究人員能繞過Windows 10引入的緩解措施（Windows XP、Windows7、Windows8中不存在），並挫敗「永恆之藍」的DEP和ASLR繞過技術。為了轉移到Windows 10，研究人員必須創建新的DEP繞過技術。

RiskSense在報告中提到新攻擊的細節，包括新的有效載荷替代DoublePulsar。迪隆稱密碼不安全，任何人都可以載入二級惡意軟體，WannaCry就是這種情況。RiskSense的新有效載荷無需後門，允許執行用戶模式有效載荷的非同步過程調用（APC）。APC可以「借用」閑置可報警的進程線程，當其依賴Offset結構函數在Windows版本之間發生變化時，APC是退出推出內核模式，進入用戶模式最可靠、最簡單的方式之一。

NSA或早就能用「永恆之藍」攻擊Windows10

影子經紀人泄露的是NSA過去使用的黑客工具，並非NSA當前的網路武器。到目前為止，NSA很有可能掌握著Win 10版的「永恆之藍」，但是直到今天，這樣的選擇並未向防禦者提供。與此同時，「永恆之藍」仍是公之於眾的最複雜攻擊之一。

有人認為，這批NSA文件被泄露前一個月，NSA已提醒Microsoft 「影子經紀人」即將放出的漏洞，以便為Microsoft預留時間構建、測試並部署MS17-010。

永恆之藍帶來的黑客知識更新

迪隆表示，真正只有少數人能寫出原始「永恆之藍」漏洞利用，但它現在就暴露在網上，人們可以研究原始的漏洞利用及其使用的技術。這為許多業餘黑客打開了「知識」大門。要使用緩衝區溢出導致程序崩潰很容易，但執行代碼相對較難。因此，無論誰編寫了原始的「永恆之藍」漏洞利用，此人肯定通過大量實驗發現了將崩潰轉化為執行代碼的最佳途徑。

「永恆之藍」為攻擊者提供能力執行即時的遠程未驗證Windows代碼執行攻擊，這種能力是供黑客任意支配的最佳漏洞利用類型。開發人員肯定在此漏洞利用方面取得大量新突破。

當研究人員將永恆之藍」漏洞利用的目標添加到Metasploit時，需要將大量代碼添加到Metasploit，使其支持針對64位系統的遠程內核漏洞利用，而原始的漏洞利用還針對32位系統。迪隆認為這種「壯舉」令人驚嘆。

當談論針對Windows內核的堆噴射（Heap Spray）攻擊，這種攻擊可能是最深奧的攻擊類型之一，而該漏洞利用針對的是Windows，沒有可獲取的源代碼。在Linux上執行類似的堆噴射攻擊也困難，但相對要簡單得多。

企業如何應對？

儘管使用戶應升級到Windows 10 最新版本依然是目前抵禦「永恆之藍」的最佳方式，但迪隆強調，即使用戶應升級到Windows 10 最新版本，光靠打補丁仍不足以完全抵禦這類威脅。

E安全建議使用SMB服務的企業應開啟防火牆，並為需要從外部訪問內部網路網路的用戶設置VPN訪問。企業應詳細羅列網路上的軟體和設備，並提供識別並部署補丁的程序。當攻擊者迅速從補丁轉移到漏洞利用時，這些措施將尤為重要。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！