ВечныйСиний

Устройство для эксплуатации EternalBlue не ново, поскольку в апреле 2017 года о нем просочилась группа под названием «Брокеры теней». Устройство эксплуатации EternalBlue использует уязвимости в реализации протокола SMB Windows и может работать со старыми версиями, которые использовались до выпуска Windows 8, поскольку у них есть общий ресурс межпроцессного взаимодействия (IPC $), который обеспечивает нулевой сеанс. Используя нулевой сеанс, злоумышленники могут создать соединение с использованием анонимного входа в систему, которое по умолчанию включает нулевой сеанс, позволяя серверу получать несколько команд от клиента.

Устройство эксплуатации EternalBlue использует три ошибки: «Ошибка распределения невыгружаемого пула», «Ошибка неверного преобразования» и «Ошибка неправильной функции синтаксического анализа». Ошибка распределения невыгружаемого пула устанавливает различные опасные компоненты на зараженные машины и атакует те, которые имеют ненадежные пароли. Устройство эксплуатации EternalBlue также добавляет криптомайнер Monero, XMRig, который выполнит свою основную задачу; криптодобыча. Устройство эксплуатации EternalBlue также можно использовать для выполнения множества других задач на зараженных им устройствах. Пользователи компьютеров, затронутые этим, должны использовать продукт для защиты от вредоносных программ, чтобы немедленно обнаружить и удалить устройство эксплуатации EternalBlue со своих компьютеров.