Win10也淪陷，如何應對永恒之藍？

更多全球網絡安全資訊盡在E安全官網www.easyaq.com

E安全6月9日訊 據報道，白帽子黑客已經將“永恒之藍”利用到Windows 10，這意味著，未打補丁的所有Microsoft操作係統都有可能被攻擊影響。

更新MS17-010補丁，很重要

RiskSense網絡安全研究小組是首批研究“永恒之藍”、DoublePulsar後門有效載荷以及NSA Fuzzbunch平台的研究團隊。他們表示，不會發布Windows 10“永恒之藍”端口的源代碼。

自“影子經紀人”四月泄露“方程式組織”針對Windows XP和Windows 7 的黑客工具以來，RiskSense網絡安全研究小組一直在研究PoC，並在WannaCry勒索病毒爆發後兩天（2017年5月14日）完成了基於“永恒之藍”的Metasploit 漏洞利用模塊。研究人員表示，應對“永恒之藍”的最佳防禦措施依然是應用Microsoft三月提供的MS17-010更新。

RiskSense網絡安全研究小組研究過程

當地時間周二，研究人員發布報告闡述了將“永恒之藍”引入Windows 10的必要性，並檢驗了Microsoft采用的緩解措施。

這項研究僅供安全人員理解並認識這些漏洞利用，從而開發新技術，以防止此類攻擊以及未來的攻擊。該研究可以幫助防禦者更好地理解該漏洞利用鏈，以構建針對該漏洞利用的防禦措施。但資深研究分析師肖恩·迪隆表示，他們省略了僅對攻擊者有用的某些細節。

Metasploit模塊

Metasploit模塊與新Windows端口是完全分離的。

Metasploit模塊是“永恒之藍”的縮減版，減少了所涉及的網絡流量，因此可以繞過自這批NSA工具泄露以來安全公司和美國政府推薦使用的許多入侵檢測係統。此外，Metasploit模塊還刪除了DoublePulsar後門。DoublePulsar是Fuzzbunch平台中所有漏洞利用扔下的內核級漏洞利用。

迪隆指出，許多安全公司對DoublePulsar傾注了過多不必要的關注。DoublePulsar分散了研究人員和防禦者的注意力。

研究人員證明，創建新的有效載荷就能直接加載惡意軟件，無需首先安裝DoublePulsar後門。因此，未來防禦這些工具不應隻關注DoublePulsa，還應關注能發現並阻止的部分。

端口

新端口針對的是基於64位係統的Windows 10 Version 1511（Threshold 2）。

研究人員能繞過Windows 10引入的緩解措施（Windows XP、Windows7、Windows8中不存在），並挫敗“永恒之藍”的DEP和ASLR繞過技術。為了轉移到Windows 10，研究人員必須創建新的DEP繞過技術。

RiskSense在報告中提到新攻擊的細節，包括新的有效載荷替代DoublePulsar。迪隆稱密碼不安全，任何人都可以加載二級惡意軟件，WannaCry就是這種情況。RiskSense的新有效載荷無需後門，允許執行用戶模式有效載荷的異步過程調用（APC）。APC可以“借用”閑置可報警的進程線程，當其依賴Offset結構函數在Windows版本之間發生變化時，APC是退出推出內核模式，進入用戶模式最可靠、最簡單的方式之一。

NSA或早就能用“永恒之藍”攻擊Windows10

影子經紀人泄露的是NSA過去使用的黑客工具，並非NSA當前的網絡武器。到目前為止，NSA很有可能掌握著Win 10版的“永恒之藍”，但是直到今天，這樣的選擇並未向防禦者提供。與此同時，“永恒之藍”仍是公之於眾的最複雜攻擊之一。

有人認為，這批NSA文件被泄露前一個月，NSA已提醒Microsoft “影子經紀人”即將放出的漏洞，以便為Microsoft預留時間構建、測試並部署MS17-010。

永恒之藍帶來的黑客知識更新

迪隆表示，真正隻有少數人能寫出原始“永恒之藍”漏洞利用，但它現在就暴露在網上，人們可以研究原始的漏洞利用及其使用的技術。這為許多業餘黑客打開了“知識”大門。要使用緩衝區溢出導致程序崩潰很容易，但執行代碼相對較難。因此，無論誰編寫了原始的“永恒之藍”漏洞利用，此人肯定通過大量實驗發現了將崩潰轉化為執行代碼的最佳途徑。

“永恒之藍”為攻擊者提供能力執行即時的遠程未驗證Windows代碼執行攻擊，這種能力是供黑客任意支配的最佳漏洞利用類型。開發人員肯定在此漏洞利用方麵取得大量新突破。

當研究人員將永恒之藍”漏洞利用的目標添加到Metasploit時，需要將大量代碼添加到Metasploit，使其支持針對64位係統的遠程內核漏洞利用，而原始的漏洞利用還針對32位係統。迪隆認為這種“壯舉”令人驚歎。

當談論針對Windows內核的堆噴射（Heap Spray）攻擊，這種攻擊可能是最深奧的攻擊類型之一，而該漏洞利用針對的是Windows，沒有可獲取的源代碼。在Linux上執行類似的堆噴射攻擊也困難，但相對要簡單得多。

企業如何應對？

盡管使用戶應升級到Windows 10 最新版本依然是目前抵禦“永恒之藍”的最佳方式，但迪隆強調，即使用戶應升級到Windows 10 最新版本，光靠打補丁仍不足以完全抵禦這類威脅。

E安全建議使用SMB服務的企業應開啟防火牆，並為需要從外部訪問內部網絡網絡的用戶設置VPN訪問。企業應詳細羅列網絡上的軟件和設備，並提供識別並部署補丁的程序。當攻擊者迅速從補丁轉移到漏洞利用時，這些措施將尤為重要。