Win10也沦陷，如何应对永恒之蓝？

E安全6月9日讯据报道，白帽子黑客已经将“永恒之蓝”利用到Windows 10，这意味着，未打补丁的所有Microsoft操作系统都有可能被攻击影响。

更新MS17-010补丁，很重要

RiskSense网络安全研究小组是首批研究“永恒之蓝”、DoublePulsar后门有效载荷以及NSA Fuzzbunch平台的研究团队。他们表示，不会发布Windows 10“永恒之蓝”端口的源代码。

自“影子经纪人”四月泄露“方程式组织”针对Windows XP和Windows 7 的黑客工具以来，RiskSense网络安全研究小组一直在研究PoC，并在WannaCry勒索病毒爆发后两天（2017年5月14日）完成了基于“永恒之蓝”的Metasploit 漏洞利用模块。研究人员表示，应对“永恒之蓝”的最佳防御措施依然是应用Microsoft三月提供的MS17-010更新。

RiskSense网络安全研究小组研究过程

当地时间周二，研究人员发布报告阐述了将“永恒之蓝”引入Windows 10的必要性，并检验了Microsoft采用的缓解措施。

这项研究仅供安全人员理解并认识这些漏洞利用，从而开发新技术，以防止此类攻击以及未来的攻击。该研究可以帮助防御者更好地理解该漏洞利用链，以构建针对该漏洞利用的防御措施。但资深研究分析师肖恩·迪隆表示，他们省略了仅对攻击者有用的某些细节。

Metasploit模块

Metasploit模块与新Windows端口是完全分离的。

Metasploit模块是“永恒之蓝”的缩减版，减少了所涉及的网络流量，因此可以绕过自这批NSA工具泄露以来安全公司和美国政府推荐使用的许多入侵检测系统。此外，Metasploit模块还删除了DoublePulsar后门。DoublePulsar是Fuzzbunch平台中所有漏洞利用扔下的内核级漏洞利用。

迪隆指出，许多安全公司对DoublePulsar倾注了过多不必要的关注。DoublePulsar分散了研究人员和防御者的注意力。

研究人员证明，创建新的有效载荷就能直接加载恶意软件，无需首先安装DoublePulsar后门。因此，未来防御这些工具不应只关注DoublePulsa，还应关注能发现并阻止的部分。

端口

新端口针对的是基于64位系统的Windows 10 Version 1511（Threshold 2）。

研究人员能绕过Windows 10引入的缓解措施（Windows XP、Windows7、Windows8中不存在），并挫败“永恒之蓝”的DEP和ASLR绕过技术。为了转移到Windows 10，研究人员必须创建新的DEP绕过技术。

RiskSense在报告中提到新攻击的细节，包括新的有效载荷替代DoublePulsar。迪隆称密码不安全，任何人都可以加载二级恶意软件，WannaCry就是这种情况。RiskSense的新有效载荷无需后门，允许执行用户模式有效载荷的异步过程调用（APC）。APC可以“借用”闲置可报警的进程线程，当其依赖Offset结构函数在Windows版本之间发生变化时，APC是退出推出内核模式，进入用户模式最可靠、最简单的方式之一。

NSA或早就能用“永恒之蓝”攻击Windows10

影子经纪人泄露的是NSA过去使用的黑客工具，并非NSA当前的网络武器。到目前为止，NSA很有可能掌握着Win 10版的“永恒之蓝”，但是直到今天，这样的选择并未向防御者提供。与此同时，“永恒之蓝”仍是公之于众的最复杂攻击之一。

有人认为，这批NSA文件被泄露前一个月，NSA已提醒Microsoft “影子经纪人”即将放出的漏洞，以便为Microsoft预留时间构建、测试并部署MS17-010。

永恒之蓝带来的黑客知识更新

迪隆表示，真正只有少数人能写出原始“永恒之蓝”漏洞利用，但它现在就暴露在网上，人们可以研究原始的漏洞利用及其使用的技术。这为许多业余黑客打开了“知识”大门。要使用缓冲区溢出导致程序崩溃很容易，但执行代码相对较难。因此，无论谁编写了原始的“永恒之蓝”漏洞利用，此人肯定通过大量实验发现了将崩溃转化为执行代码的最佳途径。

“永恒之蓝”为攻击者提供能力执行即时的远程未验证Windows代码执行攻击，这种能力是供黑客任意支配的最佳漏洞利用类型。开发人员肯定在此漏洞利用方面取得大量新突破。

当研究人员将永恒之蓝”漏洞利用的目标添加到Metasploit时，需要将大量代码添加到Metasploit，使其支持针对64位系统的远程内核漏洞利用，而原始的漏洞利用还针对32位系统。迪隆认为这种“壮举”令人惊叹。

当谈论针对Windows内核的堆喷射（Heap Spray）攻击，这种攻击可能是最深奥的攻击类型之一，而该漏洞利用针对的是Windows，没有可获取的源代码。在Linux上执行类似的堆喷射攻击也困难，但相对要简单得多。

企业如何应对？

尽管使用户应升级到Windows 10 最新版本依然是目前抵御“永恒之蓝”的最佳方式，但迪隆强调，即使用户应升级到Windows 10 最新版本，光靠打补丁仍不足以完全抵御这类威胁。

E安全建议使用SMB服务的企业应开启防火墙，并为需要从外部访问内部网络网络的用户设置VPN访问。企业应详细罗列网络上的软件和设备，并提供识别并部署补丁的程序。当攻击者迅速从补丁转移到漏洞利用时，这些措施将尤为重要。