RU EN
По-настоящему безопасной будет только выключенная и замуpованная в бетонный коpпус система.
Юджин Х. Спаффорд
Эксперт по компьютерной безопасности
Эксплоит EternalBlue используется для доставки бэкдора Nitol и RAT Gh0st
06 Июн. 2017

По аналогии с операторами WannaCry злоумышленники эксплуатируют ту же уязвимость в протоколе SMB.

Эксплоит EternalBlue, примененный в кампании по заражению вымогательским ПО WannaCry, теперь используется для распространения бэкдора Nitol и трояна для удаленного доступа Gh0st, сообщили специалисты компании FireEye.

По аналогии с операторами WannaCry злоумышленники эксплуатируют ту же уязвимость в протоколе SMB (Microsoft Server Message Block). Проблема связана с тем, как сервер Microsoft Server Message Block 1.0 (SMBv1) обрабатывает определенные запросы и позволяет выполнить произвольный код на целевой системе. Эксплуатация уязвимости осуществляется путем отправки специально сформированного пакета на сервер SMBv1. Microsoft исправила данную проблему в марте нынешнего года.

Gh0st представляет собой троян для удаленного доступа для Windows, который уже в течение нескольких лет используется различными поддерживаемыми правительствами хакерскими группировками для атак на госорганы, активистов и другие связанные с политикой мишени.

По данным FireEye, ранее бэкдор Nitol распространялся путем эксплуатации позволяющей выполнить произвольный код уязвимости в устаревших версиях Internet Explorer, а также через спам-кампании.

Операторы Nitol и Gh0st применяют технику эксплуатации подобную использованной в кампании WannaCry, но за рядом исключений. Например, в ходе данных атак после успешного инфицирования открывается shell для записи инструкций в файл VBScript, который затем исполняется и на компьютер загружается полезная нагрузка с другого сервера.

Как отметили эксперты, перенос эксплоита EternalBlue на платформу Metasploit упростил злоумышленникам эксплуатацию уязвимостей в Windows. По прогнозам исследователей, уже в ближайшем будущем стоит ожидать рост числа атак, использующих данные проблемы для распространения вредоносного ПО.

Эксплоит - компьютерная программа, фрагмент программного кода или последовательность команд, которые используют уязвимости в программном обеспечении и применяются для осуществления атаки на вычислительную систему. Целью атаки является захват контроля над системой или нарушение ее корректной работы.

securitylab.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.