Приключения EternalBlue продолжаются: теперь исследователи из RiskSense [портировали][1] его на Windows 10. На первый взгляд это деструктивное достижение, однако же, именно в этом состоит немалая часть работы исследователя-безопасника. Чтобы защититься от будущей угрозы, сначала надо эту угрозу создать и испытать, причем крайне желательно сделать это раньше «черных шляп».

Ранее RiskSense разработали EternalBlue-модуль для Metasploit, который отличается от оригинала тем, что его гораздо хуже детектят IDS. Из него выкинули имплант DoublePulsar который слишком хорошо изучен и не особо умеет скрываться на машине, демаскируя атаку. Вместо него исследователи разработали собственный шеллкод, который способен загрузить нужную нагрузку напрямую.

Исходный EternalBlue, как и его модуль для Metasploit, работает лишь на Windows 7 и Windows XP, а также на Windows Server 2003/2008 R2. В своем [отчете][2] компания подробно анализирует все цепочку багов, используемых эксплойтом, и из документа видно, что к подобной атаке уязвимы все системы на базе ядра NT – однако выручают защитные технологии, часть из которых EternalBlue обходить умеет, часть – не очень.
[Читать дальше →][3]

[1]: https://threatpost.com/nsas-eternalblue-exploit-ported-to-windows-10/126087/
[2]: http://risksense.com/download/datasets/4353/EternalBlue_RiskSense Exploit Analysis and Port to Microsoft Windows 10_v1_2.pdf
[3]: https://habrahabr.ru/post/330626/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut