ETERNALBLUE , un exploit dell’NSA che attacca il protocollo SBMv1, diffuso dal gruppo di cyber-criminali Shadow Brokers a metà Aprile, è diventato uno strumento facilmente reperibile ed utilizzabile dagli sviluppatori di malware. La notorietà di questo strumento viene dal successo che ha avuto come parte del meccanismo di diffusione del ransomware WannaCry, dove è stato usato assieme ad un altro strumento dell’NSA chiamato Doublepulsar per aiutare il ransomware ad infettare computer tramite le porte SMB non protette.
ETERNALBLUE l'exploit dei malware moderni
Dopo che il ransomware WannaCry è diventato il più famoso incidente di cyber sicurezza conosciuto
fino ad ora, i fatti mostrano che altre famiglie di malware hanno usato exploit ETERNALBLUE prima di WannaCry.
fino ad ora, i fatti mostrano che altre famiglie di malware hanno usato exploit ETERNALBLUE prima di WannaCry.
Facciamo qualche esempio:
- Proofpoint ha scoperto l’impiego dell’exploit ETERNALBLUE da parte del malware miner Adylcuzz
- Cyphort ne ha segnalato l'uso nei vari trojan per accesso remoto (RAT) usati in Cina
un ricercatore francese, ha scoperto che era usato per la diffusione del ransomware UIWIX, mentre il ricercatore croato Miroslav Strampar ha scoperto il suo utilizzo assieme ad altri 6 strumenti di hackeraggio dell’NSA, come parte del worm SMB di EternalRocks.
Per complicare le cose, FireEye ha pubblicato qualche giorno fa un report rivelando di aver individuato ETERNALBLUE in distribuzione con una versione di Gh0st RAT a Singapore e insieme al trojan backdoor Nitol nella regione del Sud asiatico.
ETERNALBLUE aggiunto al Metasploit Framework
Tutte queste campagne malware hanno usato ETERNALBLUE per la sua capacità di sfruttare la vulnerabilità CVE-2017-0144 del protocollo SMBv1 di Microsoft. ETERNALBLUE funziona inviando pacchetti malformati verso computer che eseguono Windows con questa vulnerabilità, consentendo quindi ad altri malware di eseguire codice e ottenere un "punto di attracco". Sfruttare l’exploit ETERNALBLUE non è affatto difficile. Dopo la diffusione da parte di ETERNALBLUE, l’exploit è stato aggiunto come un modulo al Metasploit Framework, uno strumento usato dai sistemisti e dai ricercatori di sicurezza con lo scopo di testare i sistemi dei computer e le loro vulnerabilità. Anche se sviluppato con buone intenzioni, i moduli di exploit del Framework sono spesso rubati dai cyber criminali che li usano come base per sviluppare malware. “L’aggiunta dell’exploit ETERNALBLUE al Metasploit ha reso facile lo sfruttamento di queste vulnerabilità da parte dei cyber criminali” ha detto il team di FireEye, tentando di giustificare il numero crescente di famiglie di malware che usano a proprio vantaggio ETERNALBLUE. Questo significa che ci si può aspettare che qualunque cyber criminale, anche con poca esperienza o con poche capacità, possa essere capace di integrare ETERNALBLUE nei propri progetti di malware.
L’unico modo per ridurre il rischio di infezione è installare l’aggiornamento di sicurezza di Microsoft MS17-010!
Nessun commento:
Posta un commento