Название эксплоита ETERNALBLUE, направленного на эксплуатацию уязвимости в протоколе SMB, знакомо даже рядовым пользователям, ведь именно этот инструмент использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе недавних атак малвари Petya. Помимо этого ETERNALBLUE уже был включен в состав Metasploit, и его взяли на вооружение разработчики криптовалютного майнера Adylkuzz, червя EternalRocks, шифровальщика Uiwix, трояна Nitol (он же Backdoor.Nitol), малвари Gh0st RAT и так далее.
Напомню, что изначально эксплоит был опубликован в сети хакерской группировкой The Shadow Brokers в апреле текущего года. Хакеры заявляют, что похитили этот и многие другие инструменты у Equation Group – группировки, за которой, по утверждениям многих специалистов, стоят «правительственные хакеры» из АНБ.
Патч, закрывающий уязвимости, которые ранее эксплуатировало АНБ, был выпущен еще в марте 2017 года (MS17-010). Кроме того, в мае, когда при помощи эксплоитов спецслужб начал распространяться вымогатель WannaCry, компания Microsoft также представила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003.
Тем не менее, пользователи по-прежнему не торопятся устанавливать обновления и правильно настраивать ПО, это не способны изменить даже такие угрозы, как WannaCry и Petya. К примеру, по данным специалистов Rapid7 и основателя поисковика Shodan Джона Мазерли, миллионы устройств по всему миру по-прежнему свободно доступны через SMB и Telnet.
Сотрудник компании Imperva Элад Эрез (Elad Erez) решил, что решению проблемы может поспособствовать простой инструмент, который поможет пользователям определить, уязвим ли их компьютер перед ETERNALBLUE. Эрез назвал свою разработку Eternal Blues. Инструмент работает просто: сканирует доступные компьютеры и проверяет, можно ли эксплуатировать уязвимость при помощи специально созданных пакетов. Эксперт отмечает, что в теории Eternal Blues может использоваться не только для LAN, но для любых сетевых диапазонов.
Eternal Blues не чета NMap, Metasploit, но утилита создавалась не в расчете на ИБ-специалистов, она адресована рядовым пользователям и занятым системным администраторам, которым нужно простое решение, работающее «в два клика».
Скачать Eternal Blues можно здесь. Также в своем блоге Эрез публикует собранную в ходе сканирований обезличенную статистику и дополнительные подробности о работе инструмента.
