اترنال بلو با ترفندهای جدید برگشت!

یک تهدید ترکیب شده از پروتکل ایمیل سرور SMB کشف شده است. که از دستگاه های آسیب دیده به عنوان پایگاهی برای انتشار اکسپلویت EternalBlue استفاده می کند. آزمایشگاه تحقیقات Threats Netskope اعلام کرده است که استفاده از EternalBlue مخرب است زیرا آن را از طریق دستگاه آلوده شده جدید به طور داخلی اجرا می شود و اجازه دسترسی مستقیم به ماشین های مشترک SMB مانند فایل های اشتراک گذاری شده، و سیستم های پشتیبان را می دهد. این باعث می شود که داده های اصلی در معرض خطر قرار بگیرند زیرا  پیش بینی آن را غیر ممکن می کند. SMB پروتکل به اشتراک گذاری فایل ها، دستگاه های چاپگر، پورت ها در یک شبکه است. که دسترسی مشترک به فایل ها را در یک شبکه فراهم می کند، SMB برنامه ای که به طور گسترده ای در حال تغییر است، به این معنی که آسیب پذیری تاثیر قابل توجهی دارد.

Aswin Vamshi، محقق Netskope می گوید: “ما مشاهده کرده ایم که وجود فایل های اسناد جاسازی شده در یک سرویس ذخیره سازی ابری و سرویس های همکاری دارای تهدیدی جدی برای محیط سازمانی است بخصوص زمانی که از منبع قابل اعتماد به دست رسیده باشند. هنگامی که در نقطه پایانی با یک بارگیری دو مرحله مثل اترنال بلو برخورد می کنند. فایل ها دچار آسیب می شوند که منجر به آلوده شدن تمامی سیستم های کامپیوتر اطراف می شود. و از طریق آسیب پذیری SMB امنیت داخلی شبکه به خطر انداخته می شود.

در اوایل سال جاری گروه Shadow Brokers مجموعه ای از اکسپلویت ها، بکدور، و چندین ابزار حمله مرتبط با فعالیت های دولت ملی را فاش کرده است. یکی از این اکسپلویت ها پورت های باز SMB را برای بکارگیری و اجرای کد از راه دور هدف قرار داده بود. و به طور گسترده ای در حملات مانند WannaCry و NotPetya و اخیرا Bad Rabbit مورد استفاده قرار گرفته است.

در این مورد، حمله اولیه با یک ایمیل منطقه ای از سوئیس آغاز می شود که حاوی یک سند Word با جاسازی شده است. که در واقع یک بکدور است که EternalBlue را بارگیری می کند از آنجا که تهدید از یک حمله محیط پیرامون یه یک حمله داخلی منتقل می شود. در نیتجه EternalBlue  خود را در شبکه سازان منتشر و گسترش می دهد. بدون هیچ گونه دخالت کاربر منجر به حملات داخلی می شود که سازمان ها به هیچ وجه برای مقابله با آن آماده نیستند.

وامشی می گوید: “استفاده از سرویس های ابر توسط شرکت ها و اعتماد مطلق موجب افزایش حملات مخرب شده و در نتیجه چالش جدیدی برای سازمان ها به شمار می رود”، افزود که سازمان ها باید سیاست های جدیدی در زمینه استفاده از خدمات  و همچنین موارد استفاده از سرویس های ابری نامطمئن، به کار گیرند.