이터널 블루
EternalBlue | 이 글은 그 주제에 익숙하지 않은 사람들에게는 불충분한 맥락을 제공한다.(2018년 7월 (이 및 ) |
| 통칭 | 영원의 |
|---|---|
| 기술명 | |
| 유형 | 착취하다 |
| 작성자 | 방정식 그룹 |
| 영향을 받는 운영 체제 | Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows 2003 Server, Windows 2003 Server R2, Windows Server 2012, Windows Server 2016 |
EternalBlue는[5] 미국 국가안보국(NSA)[6]에 의해 개발된 컴퓨터 공격이다.마이크로소프트가 취약성에 대한 패치를 발표한 지 한 달 후인 2017년 4월 14일 섀도 브로커 해커 그룹에 의해 유출되었습니다.
2017년 5월 12일, 전세계 워너크라이 랜섬웨어는 이 공격을 이용하여 패치되지 않은 컴퓨터를 [5][7][8][9][10][11]: 1 공격했습니다.2017년 6월 27일, 이 공격은 더 많은 패치되지 [12]않은 컴퓨터에 대한 2017 NotPetya 사이버 공격을 수행하는 데 다시 이용되었습니다.
이 공격도 2016년 3월부터 중국 해킹그룹인 부케예(APT3)가 툴을 [11]: 1 발견해 용도 변경했을 가능성이 높은 것으로 알려졌으며, 적어도 2017년 [13]9월 5일부터 리테페 은행 트로이 목마의 일부로 사용된 것으로 알려졌다.
EternalBlue는 DoublePulsar 백도어 임플란트 [14]도구와 함께 사용된 여러 가지 악용 사례 중 하나입니다.
세부 사항
EternalBlue는 Microsoft의 SMB(Server Message Block) 프로토콜 구현의 취약성을 이용합니다.이 취약성은 엔트리 CVE-에 의해 나타납니다.일반[15][16] 취약성 및 노출(CVE) 카탈로그에 2017-0144가 있습니다.이 취약성은 Microsoft Windows의 다양한 버전의 SMB 버전 1(SMBv1) 서버가 원격 공격자의 특수하게 조작된 패킷을 잘못 처리하여 대상 [17]컴퓨터에서 원격으로 코드를 실행할 수 있기 때문에 발생합니다.
NSA는 마이크로소프트에 취약성에 대해 경고하지 않았으며, 이 취약성에 대해 5년 이상 유지하다가 이번 해킹으로 인해 강제 조치를 받았다.이 기관은 이어 이터널블루의 도난 가능성을 알고 MS에 경고해 2017년 [19]2월 보안패치의 정기 출시를 연기한 [18]뒤 2017년 3월 발행된 소프트웨어 패치를 준비할 수 있도록 했다.화요일 3월 14일 2017년에, 마이크로 소프트사와는 패치 현재 그 시간에서 모두 Windows버전, 중인 WindowsVista, Windows7, Windows8.1, Windows10, WindowsServer2008, 윈도 서버 2012및 WindowsServer2016년이 공개됐다고 발표했다 보안 게시판 MS17-010,[20]은 결함을 자세히 소개했다를 발표했다.[21][22]
두 달 뒤인 2017년 5월 12일 WannaCry 랜섬웨어 공격이 EternalBlue의 취약성을 이용해 [23][24]퍼졌을 때 많은 윈도 사용자들은 패치를 설치하지 않았다.다음날(2017년 5월 13일) Microsoft는 지원되지 않는 Windows XP, Windows 8, 및 Windows Server [25][26]2003에 대한 긴급 보안 패치를 발표했습니다.
2018년 2월, RiskSense 보안 연구원인 Sean Dillon에 의해 Windows 2000 이후 모든 Windows 운영체제로 EternalBlue를 이식했습니다.원래 NSA에 의해 개발되고 The Shadow Brokers에 의해 유출된 다른 두 가지 공격인 Eternal Champion과 Eternal Romance도 같은 이벤트에서 포팅되었다.오픈 소스 메타스플로이트 [27]모듈로 사용할 수 있게 되었습니다.
2018년 말, 수백만 대의 시스템이 여전히 EternalBlue에 취약했습니다.이로 인해 주로 랜섬웨어 웜으로 인해 수백만 달러의 피해가 발생했습니다.WannaCry의 엄청난 충격에 이어 NotPetya와 BadRabbit 모두 초기 타협 벡터 또는 횡방향 [28]이동 수단으로 EternalBlue를 사용하여 65개 이상의 국가에서 10억 달러 이상의 손해를 입혔다.
2019년 5월 볼티모어시는 디지털 강탈범에 의한 사이버 공격으로 어려움을 겪었다.이 공격으로 수천 대의 컴퓨터가 동결되고 이메일이 정지되며 부동산 판매, 수도 요금 청구서, 보건 경보 및 기타 많은 서비스가 중단되었다.니콜 Perlroth 뉴욕 타임즈지의 글쓰기, 처음에는 EternalBlue을 통해 회고록 2월 2021년에 발표되[29]에서, Perlroth는 동안`기술 세부 사항 이 특정한 경우에, 랜섬 웨어 공격을 포인팅은 다른 사람들을 비난은 EternalBlue는 볼티모어 사이버 공격에 책임을 져야 가지 않았다고 밝혔다 이번 공격의 탓으로 돌렸다. 가졌다'영원한 블루는 퍼지지 않는다'[30]
2012년 이후, 4명의 볼티모어 시 정보 책임자가 해고되거나 사임했으며,[31] 2명은 조사 중에 떠났다.일부 보안 연구원들은 볼티모어 해킹의 책임이 자신들의 컴퓨터를 업데이트하지 않은 것에 대해 시에 있다고 말했다.보안 컨설턴트인 Rob Graham은 트윗에서 다음과 같이 쓰고 있습니다.「패치 없이 2년이 경과한 Windows 머신의 상당수는 조직의 잘못이지, Eternal [32]Blue가 아닙니다.」
책임.
마이크로소프트에 따르면, 취약점을 공개하지 않고 비축하는 논란이 많은 전략 때문에 책임이 있는 것은 미국의 NSA였다고 한다.이 전략에 의해, Microsoft 는 이 버그나 그 외의 숨겨진 [33][34]버그를 인식하고(및 그 후의 패치 적용) 있지 않게 되었습니다.그러나 콜롬비아 대학 나이트 퍼스트 수정 연구소의 알렉스 압도를 포함한 몇몇 해설자들은 마이크로소프트가 NSA에 책임을 전가하고 있다고 비난하며 자동차 제조사와 [35]같은 방식으로 결함 제품을 출시하는 것에 대해 책임을 져야 한다고 주장했다.EternalBlue 패치의 출시를 기기당 1,000달러의 확장 지원 계약으로 최근 Windows 사용자 및 고객에게 제한한 것이 이 회사의 잘못으로 인해 영국의 NHS와 같은 조직이 WannaCry 공격에 취약하게 되었습니다.패치가 처음 출시된 지 한 달 후, 마이크로소프트는 Windows [36]XP 이전의 모든 취약한 Windows 에디션 사용자에게 패치를 무료로 제공하는 드문 조치를 취했습니다.
이터널록스
EternalRocks 또는 MicroBotMassiveNet은 Microsoft Windows를 감염시키는 컴퓨터 웜입니다.NSA가 [37]개발한 7가지 공격 방법을 사용합니다.이에 비해 2017년 5월 23만 대의 컴퓨터를 감염시킨 워너크라이 랜섬웨어 프로그램은 2개의 NSA 공격만 사용하므로 연구자들은 이터널록스가 훨씬 [38]더 위험하다고 믿고 있다.그 벌레는 허니팟을 [39]통해 발견되었다.
감염
Eternal Rocks는 먼저 인터넷 활동을 숨기는 개인 네트워크인 Tor를 설치하여 숨겨진 서버에 액세스합니다.24시간의 짧은 「인큐베이션 기간」[37]이 경과하면, 서버는 「호스트」머신에 다운로드해, 자기 복제하는 것으로, 멀웨어 요구에 응답합니다.
이 악성코드는 보안 연구원의 탐지를 피하기 위해 자체적으로 WannaCry라는 이름을 붙이기도 합니다.WannaCry와 달리 EternalRocks는 킬 스위치가 없으며 [37]랜섬웨어도 아닙니다.
「 」를 참조해 주세요.
- BlueKeep (보안 취약성)– 비슷한 취약성
- Peta(멀웨어)
레퍼런스
- ^ "Trojan:Win32/EternalBlue threat description - Microsoft Security Intelligence". www.microsoft.com.
- ^ "TrojanDownloader:Win32/Eterock.A threat description - Microsoft Security Intelligence". www.microsoft.com.
- ^ "TROJ_ETEROCK.A - Threat Encyclopedia - Trend Micro USA". www.trendmicro.com.
- ^ "Win32/Exploit.Equation.EternalSynergy.A ESET Virusradar". www.virusradar.com.
- ^ a b Goodin, Dan (April 14, 2017). "NSA-leaking Shadow Brokers just dumped its most damaging release yet". Ars Technica. p. 1. Retrieved May 13, 2017.
- ^ Nakashima, Ellen; Timberg, Craig (May 16, 2017). "NSA officials worried about the day its potent hacking tool would get loose. Then it did". Washington Post. ISSN 0190-8286. Retrieved December 19, 2017.
- ^ Fox-Brewster, Thomas (May 12, 2017). "An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak". Forbes. p. 1. Retrieved May 13, 2017.
- ^ Goodin, Dan (May 12, 2017). "An NSA-derived ransomware worm is shutting down computers worldwide". Ars Technica. p. 1. Retrieved May 13, 2017.
- ^ Ghosh, Agamoni (April 9, 2017). "'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools". International Business Times UK. Retrieved April 10, 2017.
- ^ "'NSA malware' released by Shadow Brokers hacker group". BBC News. April 10, 2017. Retrieved April 10, 2017.
- ^ a b Greenberg, Andy (May 7, 2019). "The Strange Journey of an NSA Zero-Day—Into Multiple Enemies' Hands". Wired. Archived from the original on May 12, 2019. Retrieved August 19, 2019.
- ^ Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (June 27, 2017). "Cyberattack Hits Ukraine Then Spreads Internationally". The New York Times. p. 1. Retrieved June 27, 2017.
- ^ "EternalBlue Exploit Used in Retefe Banking Trojan Campaign". Threatpost. Retrieved September 26, 2017.
- ^ "stamparm/EternalRocks". GitHub. Retrieved May 25, 2017.
- ^ "CVE-2017-0144". CVE - Common Vulnerabilities and Exposures. The MITRE Corporation. September 9, 2016. p. 1. Retrieved June 28, 2017.
- ^ "Microsoft Windows SMB Server CVE-2017-0144 Remote Code Execution Vulnerability". SecurityFocus. Symantec. March 14, 2017. p. 1. Retrieved June 28, 2017.
- ^ "Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN". ESET North America. Archived from the original on May 16, 2017. Retrieved May 16, 2017.
- ^ "NSA officials worried about the day its potent hacking tool would get loose. Then it did". The Washington Post. Retrieved September 25, 2017.
- ^ Warren, Tom (April 15, 2017). "Microsoft has already patched the NSA's leaked Windows hacks". The Verge. Vox Media. p. 1. Retrieved April 25, 2019.
- ^ "Microsoft Security Bulletin MS17-010 – Critical". technet.microsoft.com. Retrieved May 13, 2017.
- ^ Cimpanu, Catalin (May 13, 2017). "Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r". Bleeping Computer. Retrieved May 13, 2017.
- ^ "Windows Vista Lifecycle Policy". Microsoft. Retrieved May 13, 2017.
- ^ Newman, Lily Hay (March 12, 2017). "The Ransomware Meltdown Experts Warned About Is Here". wired.com. p. 1. Retrieved May 13, 2017.
- ^ Goodin, Dan (May 15, 2017). "Wanna Decryptor: The NSA-derived ransomware worm shutting down computers worldwide". Ars Technica UK. p. 1. Retrieved May 15, 2017.
- ^ Surur (May 13, 2017). "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003". Retrieved May 13, 2017.
- ^ MSRC Team. "Customer Guidance for WannaCrypt attacks". microsoft.com. Retrieved May 13, 2017.
- ^ "NSA Exploits Ported to Work on All Windows Versions Released Since Windows 2000". www.bleepingcomputer.com. Retrieved February 5, 2018.
- ^ "One Year After WannaCry, EternalBlue Exploit Is Bigger Than Ever". www.bleepingcomputer.com. Retrieved February 20, 2019.
- ^ Perlroth, Nicole; Shane, Scott (May 25, 2019). "In Baltimore and Beyond, a Stolen N.S.A. Tool Wreaks Havoc" – via NYTimes.com.
- ^ Perlroth, Nicole (February 9, 2021). This Is How They Tell Me the World Ends: The Cyberweapons Arms Race. Bloomsbury.
- ^ Gallagher, Sean (May 28, 2019). "Eternally Blue: Baltimore City leaders blame NSA for ransomware attack". Ars Technica.
- ^ Rector, Ian Duncan, Kevin. "Baltimore political leaders seek briefings after report that NSA tool was used in ransomware attack". baltimoresun.com.
- ^ "The need for urgent collective action to keep people safe online: Lessons from last week's cyberattack - Microsoft on the Issues". Microsoft on the Issues. May 14, 2017. Retrieved June 28, 2017.
- ^ Titcomb, James (May 15, 2017). "Microsoft slams US government over global cyber attack". The Telegraph. p. 1. Retrieved June 28, 2017.
- ^ Bass, Dina (May 16, 2017). "Microsoft faulted over ransomware while shifting blame to NSA". Bloomberg News. Retrieved March 11, 2022.
- ^ Waters, Richard; Kuchler, Hannah (May 17, 2017). "Microsoft held back free patch that could have slowed WannaCry". Financial Times. Retrieved March 11, 2022.
- ^ a b c "New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two".
- ^ "Newly identified ransomware 'EternalRocks' is more dangerous than 'WannaCry' - Tech2". Tech2. May 22, 2017. Retrieved May 25, 2017.
- ^ "Miroslav Stampar on Twitter". Twitter. Retrieved May 30, 2017.
추가 정보
- Grossman, Nadav (September 29, 2017). "EternalBlue – Everything There Is To Know".
