EternalBlue
EternalBlue — это эксплойт, использующий уязвимость в протоколе Server Message Block (SMBv1) операционных систем семейства Microsoft Windows. Данный эксплойт был разработан Агентством национальной безопасности (АНБ) США и впоследствии похищен и опубликован хакерской группой Shadow Brokers в апреле 2017 года. EternalBlue позволяет злоумышленнику удалённо выполнить произвольный код на целевой системе, не требуя аутентификации пользователя, что делает его одним из самых опасных и широко используемых инструментов для проведения кибератак.
История
Разработка и утечка
EternalBlue был создан подразделением Tailored Access Operations (TAO) АНБ, которое занимается разработкой средств для кибершпионажа и проведения наступательных киберопераций. Точная дата создания эксплойта неизвестна, однако предполагается, что он был написан не позднее 2013 года. АНБ использовало EternalBlue для взлома компьютерных сетей, в том числе зарубежных правительственных учреждений, банков и телекоммуникационных компаний.
В 2016 году хакерская группа Shadow Brokers, чья принадлежность до сих пор не установлена, начала публиковать в открытом доступе инструменты, похищенные из арсенала АНБ. В августе 2016 года были опубликованы первые файлы, а 14 апреля 2017 года — архив, содержащий, помимо прочего, эксплойты EternalBlue, EternalRomance и DoublePulsar. Этот архив был выложен на платформе GitHub и быстро распространился по всему миру.
Использование в атаках
После публикации EternalBlue был немедленно интегрирован в инструментарий киберпреступников. Наиболее известные атаки с его использованием:
- WannaCry (май 2017): программа-вымогатель, которая зашифровывала файлы на компьютере и требовала выкуп в биткоинах. WannaCry использовал EternalBlue для распространения по локальной сети, заразив более 200 000 компьютеров в 150 странах. Атака нанесла ущерб на миллиарды долларов, парализовав работу больниц (в частности, Национальной службы здравоохранения Великобритании), транспортных компаний и государственных учреждений.
- NotPetya (июнь 2017): маскировался под программу-вымогатель, но на самом деле являлся вайпером — он безвозвратно уничтожал данные на заражённых машинах. NotPetya также использовал EternalBlue для распространения, хотя его основной вектор атаки был через скомпрометированное программное обеспечение для бухгалтерского учёта M.E.Doc. Атака была направлена в первую очередь на Украину, но затронула компании по всему миру, включая Maersk, Merck и FedEx.
- Bad Rabbit (октябрь 2017): ещё один вымогатель, распространявшийся через поддельные обновления Adobe Flash. В некоторых вариантах использовался EternalBlue для заражения других компьютеров в сети.
Помимо этих громких атак, EternalBlue активно применялся и продолжает применяться в менее масштабных кампаниях по распространению вредоносного ПО, криптомайнеров и бэкдоров. В 2019 году EternalBlue был обнаружен в инструментарии китайской хакерской группы APT41, а также использовался для распространения трояна-шпиона PlugX.
Технические детали
Уязвимость
EternalBlue эксплуатирует уязвимость MS17-010, связанную с некорректной обработкой специально сформированных SMB-пакетов в протоколе SMBv1. Уязвимость заключается в том, что при обработке запроса на транзакцию (SMB_COM_TRANSACTION2) ядро операционной системы не проверяет корректность указателя на буфер данных. Злоумышленник может отправить пакет, в котором поле «размер буфера» превышает фактический размер, что приводит к переполнению буфера в ядре (kernel pool overflow).
Механизм работы
- Сканирование: EternalBlue сначала определяет, какие компьютеры в сети используют SMBv1.
- Подготовка: Эксплойт отправляет серию SMB-пакетов для установления соединения и получения информации о версии ОС.
- Эксплуатация: Отправляется специально сформированный пакет, который вызывает переполнение буфера в ядре. Это позволяет перезаписать определённые структуры данных в памяти ядра.
- Выполнение кода: После успешной эксплуатации EternalBlue использует технику «heap spraying» для внедрения и выполнения шелл-кода в контексте ядра. Шелл-код, в свою очередь, загружает и запускает полезную нагрузку (например, программу-вымогатель или бэкдор).
- Установка бэкдора: Часто вместе с EternalBlue используется бэкдор DoublePulsar, который позволяет злоумышленнику удалённо выполнять команды на заражённой машине.
Ограничения
- Эксплойт работает только на системах с включённым протоколом SMBv1. Начиная с Windows 10 версии 1709 и Windows Server 2019, SMBv1 отключён по умолчанию.
- Для успешной атаки злоумышленник должен иметь возможность отправлять пакеты на порт 445 (SMB) целевой системы.
- Некоторые версии Windows (например, Windows 10 с накопительным обновлением от марта 2017 года) были защищены от данной уязвимости ещё до публикации эксплойта.
Распространение и влияние
Масштаб
По оценкам экспертов, на момент публикации EternalBlue уязвимыми оставались миллионы компьютеров по всему миру, особенно в корпоративном секторе, где часто использовались устаревшие версии Windows (Windows 7, Windows Server 2008 R2). Атака WannaCry продемонстрировала, что даже при наличии патча многие организации не успели его установить.
Экономический ущерб
Суммарный ущерб от атак, в которых использовался EternalBlue, оценивается в десятки миллиардов долларов. Только ущерб от WannaCry, по данным разных источников, составил от 4 до 8 миллиардов долларов. NotPetya нанёс ущерб компании Maersk в размере около 300 миллионов долларов, а Merck — более 1 миллиарда долларов.
Критика в адрес АНБ
Публикация EternalBlue вызвала широкую критику в адрес АНБ и разведывательного сообщества США. Критики утверждали, что АНБ, накопив огромный арсенал уязвимостей, не уведомило Microsoft об их существовании, что позволило бы своевременно выпустить патч. Вместо этого уязвимость оставалась неисправленной в течение нескольких лет, что привело к катастрофическим последствиям после её утечки. В ответ на это Microsoft обвинила правительства в «накоплении уязвимостей» и призвала к созданию международного соглашения, подобного «Женевской конвенции для киберпространства».
Защита и устранение
Патч от Microsoft
14 марта 2017 года, за месяц до публикации эксплойта, Microsoft выпустила внеплановое обновление безопасности MS17-010, которое закрывало уязвимость, используемую EternalBlue. Патч был выпущен для всех поддерживаемых версий Windows, включая Windows 7, 8.1, 10 и Windows Server 2008, 2012, 2016. Для неподдерживаемых версий (Windows XP, Windows Server 2003) патч был выпущен в мае 2017 года, после начала атаки WannaCry.
Рекомендации по защите
- Установка обновлений: Немедленное применение патча MS17-010 является наиболее эффективной мерой защиты.
- Отключение SMBv1: Рекомендуется отключить протокол SMBv1 на всех системах, где он не требуется. В современных версиях Windows это можно сделать через «Панель управления» → «Программы и компоненты» → «Включение или отключение компонентов Windows».
- Блокировка порта 445: На межсетевых экранах следует блокировать входящие соединения на порт 445 (SMB) из внешних сетей, если это не требуется для бизнес-процессов.
- Сегментация сети: Разделение сети на изолированные сегменты может ограничить распространение вредоносного ПО в случае заражения одной из машин.
- Использование антивирусного ПО: Современные антивирусные решения обнаруживают и блокируют попытки использования EternalBlue.
Современное состояние
Несмотря на то, что уязвимости MS17-010 уже более пяти лет, EternalBlue продолжает оставаться серьёзной угрозой. По данным отчётов компаний в области кибербезопасности (например, Positive Technologies, Kaspersky), в 2022–2023 годах EternalBlue всё ещё использовался в атаках на устаревшие системы, особенно в государственном и промышленном секторах. Многие организации, особенно в развивающихся странах, не установили патч своевременно, что делает их уязвимыми.
Интересные факты
- Название «EternalBlue» (с англ. — «Вечный синий») является частью серии эксплойтов АНБ, названных в честь цветов: EternalBlue, EternalRomance, EternalChampion, EternalSynergy.
- Эксплойт был использован в фильме «Кибер» (2018) и сериале «Мистер Робот» (2019).
- После утечки EternalBlue, АНБ было вынуждено пересмотреть свою политику в отношении хранения и использования уязвимостей нулевого дня.
Источники
- Microsoft Security Bulletin MS17-010 (Security Update for Microsoft Windows SMB Server, March 14, 2017)
- NSA’s EternalBlue Exploit: A Technical Analysis (Kaspersky Lab, 2017)
- WannaCry Ransomware Attack: A Comprehensive Analysis (Symantec, 2017)
- NotPetya: The Cyberattack That Shook the World (The New York Times, 2018)
- The Shadow Brokers: A History of the Hacktivist Group (The Intercept, 2017)
- EternalBlue: Everything You Need to Know (Malwarebytes Labs, 2019)
- Отчёт Positive Technologies «Актуальные киберугрозы: II квартал 2023 года»
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →