Зловред DoublePulsar из арсенала АНБ пошел в массы

Если вы участник «красной команды» или регулярно получаете от таковой результаты пентестинга, вы наверняка в курсе, что серверы Windows уязвимы к атакам сетевого червя Conficker, который все еще встречается в дикой природе, хотя патч для этой бреши (MS08-067) был выпущен 10 лет назад.

Прошло немногим более двух недель со времени публикации Shadow Brokers новой порции хакерского инструментария АНБ, а эксперты уже тревожатся, что зловред DoublePulsar, загружаемый на Windows в результате эксплойта, станет таким же долгожителем и уязвимость в серверах, закрытая с выходом MS17-010, будет проявляться при пентестинге гораздо дольше, чем брешь, используемая Conficker.

Обновление MS17-010, устранившее ряд уязвимостей в Windows SMB, было выпущено в марте. АНБ предположительно использовало эти бреши для загрузки DoublePulsar с помощью эксплойтов EternalBlue, EternalChampion, EternalSynergy и EternalRomance, являющихся частью эксплойт-платформы Fuzzbunch. DoublePulsar — это сложная, работающая из памяти нагрузка режима ядра, ориентированная на 64-битные серверные системы с архитектурой x86 и позволяющая в ходе атаки исполнять любые шелл-коды.

«Это полноценная нагрузка ring0, обеспечивающая полный контроль над системой с возможностью делать с ней все, что захочется», — подтвердил старший ИБ-аналитик RiskSense Шон Диллон (Sean Dillon). Диллон первым произвел реверс-инжиниринг DoublePulsar и в минувшую пятницу опубликовал результаты.

«Она будет существовать в сетях долгие годы, — предупреждает эксперт. — Предыдущей крупной уязвимостью такого класса была MS08-067, и ее до сих пор много где находят. Я с ней сталкиваюсь повсеместно. Нынешний патч для Windows — самый критичный после нее».

В ходе сканирования Интернета Дэн Тентлер (Dan Tentler), учредитель и гендиректор Phobos Group, обнаружил, что 3,1% уязвимых машин уже заражены (62–65 тыс. в количественном выражении), и число таких заражений, скорее всего, будет расти. «Это настоящая бойня», — говорит эксперт.

Начиная с 7 апреля, даты появления нового дампа от Shadow Brokers, хакеры прилежно скачивают и используют эксплойты АНБ в атаках против уязвимых компьютеров. По свидетельству Мэтью Хики (Matthew Hickey), основателя британской консалтинговой компании Hacker House, злоумышленники также публикуют на YouTube и других ресурсах документы и видеоролики, скачивание которых чревато эксплойтом.

«Тот факт, что эти инструменты атаки начали использоваться в дикой природе, неудивителен, — говорит Хики. — Это доказывает, что инструменты хорошо сделаны, весьма эффективны и не требуют больших технических навыков, поэтому они быстро оседают в хакерских репозиториях и тулкитах. В итоге авторы атак используют их как есть».

По словам Джейка Уильямса (Jake Williams), президента Rendition InfoSec, также известного как MalwareJake, на настоящий момент некоторые эксплойты применяются по самой простой схеме: атакующий задает значение, к примеру удаленный IP-адрес, и запускает код на исполнение. «Мы называем такие эксплойты ключами от королевства», — говорит эксперт.

DoublePulsar работает на ранних Windows Server, использующих устаревшие версии механизма защиты ядра PatchGuard. В новейших версиях Windows, таких как Windows 10, проверка состояния ядра улучшена и способна предотвратить подобные попытки закрепления в ОС. Установив DoublePulsar на скомпрометированный хост, автор атаки получает возможность загрузить дополнительных зловредов или исполняемые файлы.

Таким образом, данная уязвимость стремительно теряет позиции эксклюзива, доступного лишь хорошо обеспеченным хакерам, и переходит в разряд оружия массового поражения. Не за горами то время, когда эти эксплойты начнут использоваться для доставки программ-вымогателей, ботов и других зловредов.

Пока все обнаруженные itw атаки работают по одной схеме: злоумышленник отправляет на сервер вредоносный SMB-запрос и ждет ответ на том порту, на котором работает SMB-служба (445). Случаи использования зловредом уже работающего порта, по словам Тентлера, — большая редкость. «Он не открывает новые порты, — поясняет эксперт. — Если бэкдор уже на месте, он имеет возможность сделать четыре вещи: ответить на особый пинг-запрос (например, heartbeat-вида), деинсталлироваться, загрузить шелл-код или запустить DLL на хосте. И ничего более. Его единственное назначение — обеспечить скрытый канал для загрузки других зловредов или исполняемых файлов».

С точки зрения атакующего, эта схема имеет серьезный недостаток: поскольку зловред живет в памяти, он исчезает после перезагрузки. В DoublePulsar также предусмотрена команда kill или burn, выполнение которой не избавит жертву от инфекции, но предотвратит использование бэкдора аутсайдерами.

Как бы то ни было, ИБ-исследователей несколько обескуражило большое количество уязвимых машин в Интернете, хотя со времени выпуска патча прошло уже шесть недель. «Это действительно большая проблема, — признал Хики. — Такого уровня атак мы не видывали со времен Conficker, и тем более такой легкости в использовании. Инструмент спонсируемых государством хакеров стал доступным всем пользователям Интернета с разными нуждами. Отныне его будут применять для компрометации и воздействия на системы долгие годы».