Название эксплоита ETERNALBLUE, направленного на эксплуатацию уязвимости в протоколе SMB, знакомо даже рядовым пользователям, ведь именно этот инструмент использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе недавних атак малвари Petya. Помимо этого ETERNALBLUE уже был включен в состав Metasploit, и его взяли на вооружение разработчики криптовалютного майнера Adylkuzz, червя EternalRocks, шифровальщика Uiwix, трояна Nitol (он же Backdoor.Nitol), малвари Gh0st RAT и так далее.

Напомню, что изначально эксплоит был опубликован в сети хакерской группировкой The Shadow Brokers в апреле текущего года. Хакеры заявляют, что похитили этот и многие другие инструменты у Equation Group – группировки, за которой, по утверждениям многих специалистов, стоят «правительственные хакеры» из АНБ.

Патч, закрывающий уязвимости, которые ранее эксплуатировало АНБ, был выпущен еще в марте 2017 года (MS17-010). Кроме того, в мае, когда при помощи эксплоитов спецслужб начал распространяться вымогатель WannaCry,  компания Microsoft также представила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003.

Тем не менее, пользователи по-прежнему не торопятся устанавливать обновления и правильно настраивать ПО, это не способны изменить даже такие угрозы, как WannaCry и Petya. К примеру, по данным специалистов Rapid7 и основателя поисковика Shodan Джона Мазерли, миллионы устройств по всему миру по-прежнему свободно доступны через SMB и Telnet.

Сотрудник компании Imperva Элад Эрез (Elad Erez) решил, что решению проблемы может поспособствовать простой инструмент, который поможет пользователям определить, уязвим ли их компьютер перед ETERNALBLUE. Эрез назвал свою разработку Eternal Blues. Инструмент работает просто: сканирует доступные компьютеры и проверяет, можно ли эксплуатировать уязвимость при помощи специально созданных пакетов. Эксперт отмечает, что в теории Eternal Blues может использоваться не только для LAN, но для любых сетевых диапазонов.

Eternal Blues не чета NMap, Metasploit, но утилита создавалась не в расчете на ИБ-специалистов, она адресована рядовым пользователям и занятым системным администраторам, которым нужно простое решение, работающее «в два клика».

Скачать Eternal Blues можно здесь. Также в своем блоге Эрез публикует собранную в ходе сканирований обезличенную статистику и дополнительные подробности о работе инструмента.



6 комментариев

  1. Themistocles

    03.07.2017 at 22:29

    Мёртвому припарки, когда твою сеть УЖЕ поимели.

  2. Max - 2

    04.07.2017 at 15:34

    Собственно зарегистрировался что бы сказать спасибо за то что держите в курсе. Обнаружил с помощью этой штуки, что на одном маленьком шлюзе обновление не применилось, исправил. Да и вообще благодарность накопилась. Жаль я дорос до вашего журнала, когда он перестал продаваться в союз-печати.

  3. Juni Cortez

    10.07.2017 at 14:56

    Я тоже благодарен за инфу.
    Но сама прога как-то странно работает, не понял пока в чём соль: есть несколько компов в локальной сети без инета, а есть с инетом. Ось — XP. на всех стоит 1 патч от майков MS17-010 плюс патч от enSilo (против EsteemAudit). Так вот, те компы, которые в инете показыват статус либо «NO», либо «NO (SMBv1 enabled)», а вот компы в сети еще и «YES», то есть положительный статус кажут. И неясно от чего это зависит. Специально smb v1 никто не трогал. Не может же он сам закрываться в зависимости от наличия инета?)
    И кстати, помимо оф. рекомендаций на сайте майков, есть быстрый автоматизированный в какой-то степени способ отключить smb v1 на компах и после этого отключения пользователи на XP по-прежнему смогут заходить в сетевые папки аля \\share или нет?

    • Juni Cortez

      10.07.2017 at 15:24

      Ну да, с smb первой версии всё не так однозначно к сожалению:
      https://habrahabr.ru/company/pc-administrator/blog/331906/

      Кстати, инструмент от ESET — ESETEternalBlueChecker, хоть так и называется, но он только наличие патчей MS17-010 проверяет, а все остальные (EsteemAudit и т. д.) игнорирует, по крайне мере версия от конца мая этого года.

  4. Valeriy911

    16.03.2018 at 12:25

    Бляди троян (W32.Malware.Gen) в прогу вставили не скачивайте здесь ничего !!!

Оставить мнение