EthernalBlue
EthernalBlue – вредоносное программное обеспечение, которое использовало уязвимость операционных систем Windows для распространения шифровальщика WannaCry.
Описание
В середине апреля 2017 года хакерская группировка Shadow Brokers опубликовала сообщение о серьезной уязвимости в семействе операционных систем Windows. Она была обнаружена еще в версии Windows XP.
Уязвимость получила название EthernalBlue и в основном использовалась для распространения вирусов-шифровальщиков WannaCry и Petya.
EthernalBlue использует ошибки в протоколе SMB для дальнейшего распространения. Этот протокол необходим для запуска файловых служб и сервисов печати из серверных операционных систем.
Из-за широкого распространения опасного зловредного ПО, в 2017 году компания Microsoft выпустила патч на все свои продукты, в том числе и на операционные системы, снятые с поддержки: Windows XP, Windows Server 2003, Windows 8.
После выпуска этого критического обновления появились специальные программные сканеры для обнаружения уязвимости. Они пингуют инфраструктуру клиента для обнаружения и по итогу теста предоставляют подробный отчет.
Распространение эксплойта
EthernalBlue заражает компьютер двумя способами:
- Заражение происходит через браузер. Пользователь заходит на сайт, который содержит вредоносный код.
- Эксплойт маскируют под безобидный файл и отправляют жертве. При его открытии происходит заражение вирусом.
После активации EthernalBlue загружает на зараженную машину другие вирусы, которые прописаны в его коде, с сайта злоумышленника.
Эксплойты всегда отправляют пакетами, чтобы обнаружить любой тип уязвимости в инфраструктуре жертвы.
Эксплойт EthernalBlue – один из самых опасных подвидов вредоносного ПО, поскольку при его активации на компьютер жертвы загружаются другие вирусы. Антивирус может обнаружить эксплойт только при использовании метода поведенческого анализа. За консультацией в сфере интернет-безопасности вы можете обратиться к экспертам компании TrustSpace