EthernalBlue

EthernalBlue – вредоносное программное обеспечение, которое использовало уязвимость операционных систем Windows для распространения шифровальщика WannaCry.

Описание

В середине апреля 2017 года хакерская группировка Shadow Brokers опубликовала сообщение о серьезной уязвимости в семействе операционных систем Windows. Она была обнаружена еще в версии Windows XP.

Уязвимость получила название EthernalBlue и в основном использовалась для распространения вирусов-шифровальщиков WannaCry и Petya.

EthernalBlue использует ошибки в протоколе SMB для дальнейшего распространения. Этот протокол необходим для запуска файловых служб и сервисов печати из серверных операционных систем.

Из-за широкого распространения опасного зловредного ПО, в 2017 году компания Microsoft выпустила патч на все свои продукты, в том числе и на операционные системы, снятые с поддержки: Windows XP, Windows Server 2003, Windows 8.

После выпуска этого критического обновления появились специальные программные сканеры для обнаружения уязвимости. Они пингуют инфраструктуру клиента для обнаружения и по итогу теста предоставляют подробный отчет.

Распространение эксплойта

EthernalBlue заражает компьютер двумя способами:

  1. Заражение происходит через браузер. Пользователь заходит на сайт, который содержит вредоносный код.
  2. Эксплойт маскируют под безобидный файл и отправляют жертве. При его открытии происходит заражение вирусом.

После активации EthernalBlue загружает на зараженную машину другие вирусы, которые прописаны в его коде, с сайта злоумышленника.

Эксплойты всегда отправляют пакетами, чтобы обнаружить любой тип уязвимости в инфраструктуре жертвы.

Эксплойт EthernalBlue – один из самых опасных подвидов вредоносного ПО, поскольку при его активации на компьютер жертвы загружаются другие вирусы. Антивирус может обнаружить эксплойт только при использовании метода поведенческого анализа.