Jump to content

ВечныйСиний

Вечный - анонимный
Техническое название L** Троян:Win32/EternalBlue ( Microsoft ) [1]
  • Вариант Скалы
  • Синергический вариант
    • Win32/Exploit.Equation.EternalSynergy ( ESET ) [4]
Тип Эксплуатация
Авторы Группа уравнений
Технические детали
Платформа Windows 95 , Windows 98 , Windows Me , Windows NT , Windows 2000 , Windows XP , Windows Vista , Windows 7 , Windows 8 , Windows 8.1 , Windows 10 , Windows Server 2003 , Windows Server 2003 R2 , Windows Server 2012 , Windows Server 2016

ВечныйСиний [5] — это компьютерная программа- эксплойт, разработанная Агентством национальной безопасности США (АНБ). [6] Он основан на уязвимости в Microsoft Windows , которая позволяла пользователям получать доступ к любому количеству компьютеров, подключенных к сети . АНБ знало об этой уязвимости, но несколько лет не раскрывало ее Microsoft, поскольку планировало использовать ее в качестве механизма защиты от кибератак. В 2017 году АНБ обнаружило, что программное обеспечение было украдено группой хакеров, известных как Shadow Brokers . Microsoft была проинформирована об этом и в марте 2017 года выпустила обновления безопасности, исправляющие уязвимость. Пока это происходило, хакерская группа попыталась продать программное обеспечение с аукциона, но не смогла найти покупателя. EternalBlue был публично выпущен 14 апреля 2017 года. [ нужна ссылка ]

12 мая 2017 года компьютерный червь в виде программы-вымогателя по прозвищу WannaCry использовал эксплойт EternalBlue для атаки на компьютеры под управлением Windows, не получившие последние обновления системы, устраняющие уязвимость. [5] [7] [8] [9] [10] [11] :  1 27 июня 2017 г. эксплойт снова был использован для проведения кибератаки NotPetya 2017 г. на более уязвимые компьютеры. [12]

Сообщалось также, что с марта 2016 года эксплойт использовался китайской хакерской группой Buckeye (APT3) после того, как они, вероятно, нашли и перепрофилировали программное обеспечение. [11] :  1 а также сообщается, что он использовался как часть банковского трояна Retefe как минимум с 5 сентября 2017 года. [13]

Подробности

[ редактировать ]

EternalBlue использует уязвимость в протокола реализации Microsoft Server Message Block (SMB). Эта уязвимость обозначается записью CVE 2017-0144 [14] [15] в каталоге распространенных уязвимостей и рисков (CVE). Уязвимость существует потому, что сервер SMB версии 1 (SMBv1) в различных версиях Microsoft Windows неправильно обрабатывает специально созданные пакеты от удаленных злоумышленников, позволяя им удаленно выполнять код на целевом компьютере. [16]

АНБ не предупредило Microsoft об уязвимостях и хранило информацию более пяти лет, прежде чем взлом вынудил ее действовать. Затем агентство предупредило Microsoft, узнав о возможной краже EternalBlue, позволив компании подготовить исправление программного обеспечения, выпущенное в марте 2017 года. [17] после задержки регулярного выпуска обновлений безопасности в феврале 2017 года. [18] Во вторник , 14 марта 2017 г., Microsoft выпустила бюллетень по безопасности MS17-010. [19] в котором подробно описан недостаток и объявлено, что исправления были выпущены для всех версий Windows, которые в настоящее время поддерживались на тот момент, а именно для Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 и Windows Server 2016 . [20] [21]

Shadow Brokers публично опубликовали код эксплойта EternalBlue 14 апреля 2017 года вместе с несколькими другими хакерскими инструментами АНБ.

Многие пользователи Windows не установили исправления Microsoft, когда 12 мая 2017 года атака программы-вымогателя WannaCry начала использовать уязвимость EternalBlue для своего распространения. [22] [23] На следующий день (13 мая 2017 года) Microsoft выпустила экстренные исправления безопасности для неподдерживаемых Windows XP , Windows 8 и Windows Server 2003 . [24] [25]

В феврале 2018 года EternalBlue был портирован на все операционные системы Windows, начиная с Windows 2000, исследователем безопасности RiskSense Шоном Диллоном. EternalChampion и EternalRomance , два других эксплойта, первоначально разработанных АНБ и опубликованных The Shadow Brokers , также были портированы на том же мероприятии. Они были доступны в виде с открытым исходным кодом . Metasploit модулей [26]

В конце 2018 года миллионы систем все еще были уязвимы для EternalBlue. Это привело к убыткам в миллионы долларов, главным образом, от червей-вымогателей. После массового воздействия WannaCry , и NotPetya и BadRabbit нанесли ущерб на сумму более 1 миллиарда долларов в более чем 65 странах, используя EternalBlue либо в качестве первоначального вектора компрометации, либо в качестве метода бокового движения. [27]

Кибератака на город Балтимор

[ редактировать ]

В мае 2019 года город Балтимор подвергся кибератаке со стороны цифровых вымогателей; В результате атаки были заблокированы тысячи компьютеров, отключена электронная почта и нарушены продажи недвижимости, счета за воду, оповещения о состоянии здоровья и многие другие услуги. Николь Перлрот, пишущая для The New York Times , первоначально приписала это нападение EternalBlue; [28] в мемуарах, опубликованных в феврале 2021 года, Перлрот пояснил, что EternalBlue не несет ответственности за кибератаку в Балтиморе, одновременно раскритиковав других за указание на «технические детали, заключающиеся в том, что в данном конкретном случае атака с помощью программы-вымогателя не распространилась с помощью EternalBlue». [29]

С 2012 года четыре директора по информационным технологиям Балтимора были уволены или ушли в отставку; двое ушли, пока находились под следствием. [30] Некоторые исследователи безопасности заявили, что ответственность за взлом в Балтиморе лежит на городе за то, что он не обновил свои компьютеры. Консультант по безопасности Роб Грэм написал в твиттере: «Если в организации имеется значительное количество компьютеров с Windows, на которых в течение двух лет не использовались исправления, то это вина самой организации, а не EternalBlue». [31]

Ответственность

[ редактировать ]

После атаки WannaCry Microsoft взяла на себя «первую ответственность за решение этих проблем», но раскритиковала правительственные учреждения, такие как АНБ и ЦРУ, за накопление уязвимостей, а не за их раскрытие, написав, что «эквивалентным сценарием с обычным оружием было бы, если бы американские военные имели некоторые его ракеты «Томагавк ». украдены [32] Стратегия накопления не позволяла Microsoft узнать об этой ошибке и, предположительно, о других скрытых ошибках (и впоследствии исправить их). [32] [33] Однако несколько комментаторов, в том числе Алекс Абдо из Института Первой поправки Найта при Колумбийском университете , раскритиковали Microsoft за то, что она переложила вину на АНБ, утверждая, что оно должно нести ответственность за выпуск дефектного продукта так же, как производитель автомобилей. [34] Компанию обвинили в том, что она изначально ограничила выпуск своего патча EternalBlue недавними пользователями Windows и клиентами своих контрактов на расширенную поддержку стоимостью 1000 долларов за устройство, что сделало такие организации, как Национальная служба здравоохранения Великобритании, уязвимыми для атаки WannaCry. Через месяц после первого выпуска патча Microsoft предприняла редкий шаг, сделав его бесплатным для пользователей всех уязвимых выпусков Windows, начиная с Windows XP. [35]

ВечныеСкалы

[ редактировать ]

EternalRocks или MicroBotMassiveNet компьютерный червь , заражающий Microsoft Windows. Он использует семь эксплойтов, разработанных АНБ. [36] WannaCry Для сравнения: программа -вымогатель , заразившая 230 000 компьютеров в мае 2017 года, использует только два эксплойта АНБ, поэтому исследователи считают, что EternalRocks значительно более опасен. [37] Червь был обнаружен через приманку . [38]

Инфекция

[ редактировать ]

EternalRocks сначала устанавливает Tor , частную сеть, скрывающую интернет-активность, для доступа к своим скрытым серверам. После короткого 24-часового « инкубационного периода » [36] затем сервер отвечает на запрос вредоносного ПО, загружая и самореплицируясь на « хостовой » машине.

Вредоносная программа даже называет себя WannaCry, чтобы избежать обнаружения исследователями безопасности. В отличие от WannaCry, EternalRocks не имеет аварийного отключения и не является программой-вымогателем. [36]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Описание угрозы Trojan:Win32/EternalBlue — Microsoft Security Intelligence» . www.microsoft.com .
  2. ^ «TrojanDownloader:Win32/Eterock.Описание угрозы — Microsoft Security Intelligence» . www.microsoft.com .
  3. ^ «TROJ_ETEROCK.A — Энциклопедия угроз — Trend Micro USA» . www.trendmicro.com .
  4. ^ «Win32/Exploit.Equation.EternalSynergy.A | ESET Virusradar» . www.virusradar.com .
  5. ^ Jump up to: а б Гудин, Дэн (14 апреля 2017 г.). «Shadow Brokers, слившая информацию в АНБ, только что опубликовала свой самый разрушительный релиз» . Арс Техника . п. 1 . Проверено 13 мая 2017 г.
  6. ^ Накашима, Эллен; Тимберг, Крейг (16 мая 2017 г.). «Чиновники АНБ беспокоились о том дне, когда его мощный хакерский инструмент станет доступен. И так и случилось» . Вашингтон Пост . ISSN   0190-8286 . Проверено 19 декабря 2017 г.
  7. ^ Фокс-Брюстер, Томас (12 мая 2017 г.). «Кибероружие АНБ может стоять за массовой глобальной вспышкой программ-вымогателей» . Форбс . п. 1 . Проверено 13 мая 2017 г.
  8. ^ Гудин, Дэн (12 мая 2017 г.). «Червь-вымогатель, созданный АНБ, выключает компьютеры по всему миру» . Арс Техника . п. 1 . Проверено 13 мая 2017 г.
  9. ^ Гош, Агамони (9 апреля 2017 г.). « Президент Трамп, какого черта ты делаешь?» — говорят Shadow Brokers и выбрасывают еще больше хакерских инструментов АНБ» . Интернэшнл Бизнес Таймс, Великобритания . Проверено 10 апреля 2017 г.
  10. ^ « Вредоносное ПО АНБ, выпущенное хакерской группой Shadow Brokers» . Новости Би-би-си . 10 апреля 2017 г. Проверено 10 апреля 2017 г.
  11. ^ Jump up to: а б Гринберг, Энди (7 мая 2019 г.). «Странное путешествие нулевого дня АНБ — в руки множества врагов» . Проводной . Архивировано из оригинала 12 мая 2019 года . Проверено 19 августа 2019 г.
  12. ^ Перлрот, Николь; Скотт, Марк; Френкель, Шира (27 июня 2017 г.). «Кибератака поразила Украину, а затем распространилась по всему миру» . Нью-Йорк Таймс . п. 1 . Проверено 27 июня 2017 г.
  13. ^ «Эксплойт EternalBlue, использованный в кампании банковского трояна Retefe» . Угрозапост . Проверено 26 сентября 2017 г.
  14. ^ «CVE-2017-0144» . CVE — Распространенные уязвимости и риски . Корпорация МИТЕР . 9 сентября 2016. с. 1 . Проверено 28 июня 2017 г.
  15. ^ «Сервер Microsoft Windows SMB CVE-2017-0144, уязвимость удаленного выполнения кода» . БезопасностьФокус . Симантек . 14 марта 2017. с. 1 . Проверено 28 июня 2017 г.
  16. ^ «Уязвимость CVE-2017-0144 в SMB, используемая программой-вымогателем WannaCryptor для распространения по локальной сети» . ESET Северная Америка. Архивировано из оригинала 16 мая 2017 года . Проверено 16 мая 2017 г.
  17. ^ «Чиновники АНБ беспокоились о том дне, когда его мощный хакерский инструмент станет доступен. И так и случилось» . Вашингтон Пост . Проверено 25 сентября 2017 г.
  18. ^ Уоррен, Том (15 апреля 2017 г.). «Microsoft уже исправила утечку информации, взломанную АНБ на Windows» . Грань . Вокс Медиа . п. 1 . Проверено 25 апреля 2019 г.
  19. ^ «Бюллетень по безопасности Microsoft MS17-010 — критично» . technet.microsoft.com . Проверено 13 мая 2017 г.
  20. ^ Чимпану, Каталин (13 мая 2017 г.). «Microsoft выпускает исправление для старых версий Windows для защиты от Wana Decrypt0r» . Пипящий компьютер . Проверено 13 мая 2017 г.
  21. ^ «Политика жизненного цикла Windows Vista» . Майкрософт . Проверено 13 мая 2017 г.
  22. ^ Ньюман, Лили Хэй (12 марта 2017 г.). «Здесь предупреждают эксперты о крахе программ-вымогателей» . проводной.com . п. 1 . Проверено 13 мая 2017 г.
  23. ^ Гудин, Дэн (15 мая 2017 г.). «Wanna Decryptor: червь-вымогатель, созданный АНБ и выключающий компьютеры по всему миру» . Арс Техника Великобритания . п. 1 . Проверено 15 мая 2017 г.
  24. ^ Сурур (13 мая 2017 г.). «Microsoft выпустила патч Wannacrypt для неподдерживаемых Windows XP, Windows 8 и Windows Server 2003» . Проверено 13 мая 2017 г.
  25. ^ Команда МСК. «Руководство для клиентов по атакам WannaCrypt» . microsoft.com . Проверено 13 мая 2017 г.
  26. ^ «Эксплойты АНБ перенесены для работы во всех версиях Windows, выпущенных после Windows 2000» . www.bleepingcomputer.com . Проверено 5 февраля 2018 г.
  27. ^ «Через год после WannaCry эксплойт EternalBlue стал больше, чем когда-либо» . www.bleepingcomputer.com . Проверено 20 февраля 2019 г.
  28. ^ Перлрот, Николь; Шейн, Скотт (25 мая 2019 г.). «В Балтиморе и за его пределами украденный инструмент АНБ сеет хаос» . Нью-Йорк Таймс .
  29. ^ Перлрот, Николь (9 февраля 2021 г.). Вот как мне говорят, что наступает конец света: гонка кибероружия . Блумсбери.
  30. ^ Галлахер, Шон (28 мая 2019 г.). «Вечно синий: лидеры города Балтимор обвиняют АНБ в атаке с использованием программы-вымогателя» . Арс Техника .
  31. ^ Ректор Ян Дункан, Кевин (26 мая 2019 г.). «Политические лидеры Балтимора требуют брифингов после сообщения об использовании инструмента АНБ для атаки с помощью программы-вымогателя» . baltimoresun.com . {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  32. ^ Jump up to: а б «Необходимость срочных коллективных действий для обеспечения безопасности людей в Интернете: уроки кибератаки на прошлой неделе — Microsoft о проблемах» . Microsoft о проблемах . 14 мая 2017 г. . Проверено 28 июня 2017 г.
  33. ^ Титкомб, Джеймс (15 мая 2017 г.). «Microsoft критикует правительство США за глобальную кибератаку» . Телеграф . п. 1 . Проверено 28 июня 2017 г.
  34. ^ Басс, Дина (16 мая 2017 г.). «Microsoft обвинила программу-вымогатель, переложив вину на АНБ» . Новости Блумберга . Проверено 11 марта 2022 г.
  35. ^ Уотерс, Ричард; Кюхлер, Ханна (17 мая 2017 г.). «Microsoft сдержала выпуск бесплатного патча, который мог бы замедлить WannaCry» . Файнэншл Таймс . Проверено 11 марта 2022 г.
  36. ^ Jump up to: а б с «Новый червь для малого и среднего бизнеса использует семь хакерских инструментов АНБ. WannaCry использовал только два» .
  37. ^ «Недавно обнаруженная программа-вымогатель EternalRocks более опасна, чем WannaCry – Tech2» . Тех2 . 22 мая 2017. Архивировано из оригинала 4 июня 2017 года . Проверено 25 мая 2017 г.
  38. ^ «Мирослав Стампар в Твиттере» . Твиттер . Проверено 30 мая 2017 г.

Дальнейшее чтение

[ редактировать ]
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=EternalBlue&oldid=1235390777"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: b6887fa6bf4de5a41413fd541e6fce31__1721343600
URL1:https://arc.ask3.ru/arc/aa/b6/31/b6887fa6bf4de5a41413fd541e6fce31.html
Заголовок, (Title) документа по адресу, URL1:
EternalBlue - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)