Elia Tufarolo

EternalBlue, strumento di diffusione per altri malware

L'exploit su cui si basa il ransomware di ultima generazione WannaCry, sta diventando uno dei principali punti di ingresso sfruttati da malware di vecchia e nuova generazione. Uno scenario che potrebbe peggiorare nei mesi a venire

Roma - La notorietà raggiunta dall'exploit EternalBlue, secondo BleepingComputer, assieme alla sua semplicità di implementazione, agevolata dalla presenza di codice sorgente sul progetto Metasploit, ha fatto sì che sia potuto diventare uno strumento utile per molti cyber-criminali. Vi sono difatti evidenze, sotto forma di indicators of compromise, che la vulnerabilità CVE-2017-0144 venga sfruttata da varie famiglie di malware, sia successive che antecedenti a WannaCry.

Due malware di questo tipo sono stati rilevati da Secdo ben tre settimane prima dell'ondata di WannaCry: il primo, proveniente dalla Russia, è in grado di rubare le credenziali salvate su Firefox, esfiltrarle dal computer infetto sfruttando la rete Tor, per poi in seguito cifrare tutti i file personali con finalità di estorsione; il secondo, proveniente dalla Cina, sottoscrive il computer infetto ad una botnet, scaricando ed eseguendo un root-kit, basato sul già noto Agony.

Verso la fine di Aprile, stando ad un report di Cyphort, è stato scoperto un altro remote access trojan in grado di fornire il controllo completo del computer vittima all'attaccante. L'intrusione è stata rilevata attraverso un honeypot, e il malware presenta caratteristiche assai particolari, implementate da cybercriminali cinesi al fine di garantirne quanto più possibile la segretezza: non si propaga da un computer all'altro, evita l'esecuzione di determinati programmi e servizi che potrebbero causare conflitti e soprattutto chiude la porta 445 utilizzata dal servizio SMB. Ironicamente, proprio per quest'ultima ragione, i computer infettati da questo trojan non sono stati colpiti anche da WannaCry.
comandi di chiusura della porta 445

porta 445 chiusa su windows firewall

Il medesimo comportamento elusivo del trojan precedente caratterizza un altro attacco su vasta scala, lanciato al fine di installare il crypto-miner Adylkuzz su più macchine possibili. Sono state registrate almeno tre ondate di attacchi, che hanno fatto guadagnare ai cyber-criminali responsabili almeno 43.000 dollari, "minando" la criptomoneta Monero.

comandi di adylkuzz

Nei giorni scorsi, Fireeye riferisce che EternalBlue viene inoltre sfruttato per propagare la backdoor Nitol e il malware Gh0st. Entrambi i malware consentono il controllo remoto dei computer infetti.
Una volta ottenuta, tramite EternalBlue, la possibilità di eseguire comandi sul computer infetto, uno script VBS scarica su disco il payload di Backdoor.Nitol da un server remoto, lo esegue e cancella se stesso.

backdoor nitol

Il download e l'esecuzione di Gh0st RAT avviene in modo analogo; inoltre, l'eseguibile di questo malware risulta firmato con un certificato valido a nome del Beijing Institute of Science and Technology Co., Ltd.

È importante quindi patchare al più presto la vulnerabilità CVE-2017-0144: la patch è disponibile sia per i sistemi operativi Microsoft attualmente supportati, che per quelli ormai fuori supporto.

Elia Tufarolo

Fonte Immagini: 1 2 3 4
Notizie collegate
2 Commenti alla Notizia EternalBlue, strumento di diffusione per altri malware
Ordina
  • """
    Il download e l'esecuzione di Gh0st RAT avviene in modo analogo; inoltre, l'eseguibile di questo malware risulta firmato con un certificato valido a nome del Beijing Institute of Science and Technology Co., Ltd.
    """

    secondo me, anche se passata in secondo piano, questa è la vera news e il vero allarme...
    non+autenticato
  • - Scritto da: mementomori
    > """
    > Il download e l'esecuzione di Gh0st RAT avviene
    > in modo analogo; inoltre, l'eseguibile di questo
    > malware risulta firmato con un certificato valido
    > a nome del Beijing Institute of Science and
    > Technology Co.,
    > Ltd.
    > """

    Grazie, segno.
    >
    > secondo me, anche se passata in secondo piano,
    > questa è la vera news e il vero
    > allarme...
    non+autenticato