Globalna epidemia ransomware WannaCry w maju 2017 roku była szokiem dla całego świata. Jak to możliwe, że jedno malware w tak krótkim czasie zainfekowało setki tysięcy komputerów w ponad 150 krajach? W poprzednim artykule omówiliśmy lekcje płynące z tego ataku, a teraz przyjrzymy się bliżej jego technicznej anatomii. Kluczem do zrozumienia fenomenu WannaCry jest poznanie działania potężnego exploita o nazwie EternalBlue.
Kluczowy Składnik: Exploit EternalBlue – Skradziona Cyberbroń
Sercem mechanizmu rozprzestrzeniania się WannaCry był exploit EternalBlue. Exploit to fragment kodu wykorzystujący konkretną lukę w zabezpieczeniach oprogramowania, aby uzyskać nieautoryzowany dostęp lub wykonać złośliwe działania. EternalBlue celował w krytyczną podatność (CVE-2017-0144) w implementacji starej wersji protokołu udostępniania plików Server Message Block (SMBv1) w systemach Windows. Luka ta została opisana przez Microsoft w biuletynie MS17-010.
Co najbardziej niepokojące, EternalBlue nie był dziełem przypadkowych hakerów. Został opracowany przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA), prawdopodobnie jako narzędzie do cyberataków i inwigilacji. Niestety, w kwietniu 2017 roku, na miesiąc przed atakiem WannaCry, exploit ten (wraz z innymi narzędziami NSA) został wykradziony i upubliczniony przez grupę hakerów The Shadow Brokers. Skutkiem było dostarczenie niezwykle potężnej cyberbroni w ręce cyberprzestępców na całym świecie.
Mechanizm Rozprzestrzeniania WannaCry: Robak na Sterydach
Wykorzystując exploit EternalBlue, WannaCry działał nie tylko jak ransomware, ale przede wszystkim jak agresywny robak sieciowy. Jego działanie można opisać w kilku krokach:
- Skanowanie Sieci: Po zainfekowaniu pierwszej maszyny (prawdopodobnie przez bezpośrednio wystawiony do internetu port SMB), WannaCry rozpoczynał skanowanie sieci lokalnej oraz losowych adresów IP w internecie w poszukiwaniu innych komputerów nasłuchujących na porcie TCP 445 (używanym przez SMB).
- Wykorzystanie EternalBlue: Jeśli WannaCry znalazł potencjalną ofiarę z aktywnym i podatnym SMBv1, próbował wykorzystać lukę MS17-010 za pomocą exploita EternalBlue.
- Uzyskanie Dostępu i Replikacja: Udane wykorzystanie EternalBlue pozwalało robakowi na zdalne wykonanie kodu na maszynie ofiary, uzyskanie dostępu na poziomie systemu i zainstalowanie własnej kopii.
- Cykl się Powtarza: Nowo zainfekowana maszyna natychmiast rozpoczynała skanowanie i infekowanie kolejnych, prowadząc do wykładniczego wzrostu liczby zainfekowanych komputerów.
Ten mechanizm był niezwykle skuteczny, ponieważ **nie wymagał żadnej akcji ze strony użytkownika** na atakowanych komputerach. Wystarczyło, że system był podatny i podłączony do sieci. Niektóre analizy sugerują, że WannaCry mógł również wykorzystywać inny wykradziony z NSA komponent – backdoor DoublePulsar – do infekowania systemów lub otwierania furtek dla przyszłych ataków.
Szyfrowanie i Żądanie Okupu
Poza agresywnym rozprzestrzenianiem się, WannaCry realizował również typową funkcję ransomware. Po uzyskaniu kontroli nad systemem, szyfrował pliki użytkownika przy użyciu kombinacji algorytmów AES i RSA, dodając rozszerzenie .WCRY. Następnie wyświetlał okno „Wana Decrypt0r 2.0” z żądaniem okupu (300-600 USD w Bitcoinach) i licznikiem czasu, wywierając presję na ofiarę. W tle usuwał również kopie zapasowe systemu Windows (Volume Shadow Copies), aby utrudnić odzyskanie danych.
Tajemniczy „Kill Switch” WannaCry
Ciekawym elementem technicznym ataku WannaCry był tzw. „kill switch” – mechanizm, który nieumyślnie przyczynił się do spowolnienia epidemii. Przed rozpoczęciem swoich złośliwych działań, WannaCry próbował połączyć się z bardzo długą, niezarejestrowaną domeną internetową. Jeśli połączenie się nie powiodło (bo domena nie istniała), robak kontynuował atak. Jeśli jednak połączenie zakończyło się sukcesem, robak kończył swoje działanie.
Badacz bezpieczeństwa Marcus Hutchins zauważył tę próbę połączenia, zarejestrował domenę, co spowodowało, że wiele instancji WannaCry na całym świecie przestało się rozprzestrzeniać i szyfrować pliki. Prawdopodobnie mechanizm ten był niezamierzoną pozostałością po testach lub prymitywną techniką anty-sandboxową, ale jego odkrycie okazało się kluczowe w walce z pierwszą falą epidemii WannaCry.
Podsumowanie: Anatomia Katastrofy
Anatomia ataku WannaCry pokazuje, jak połączenie kilku czynników – krytycznej, niezałatanej podatności w powszechnie używanym protokole (SMBv1), dostępności potężnego exploita (EternalBlue wykradzionego z NSA) oraz mechanizmu samoreplikacji robaka sieciowego – może doprowadzić do globalnego kryzysu cybernetycznego. Atak WannaCry był bolesną lekcją o tym, jak ważne jest szybkie wdrażanie aktualizacji bezpieczeństwa i jak realne mogą być konsekwencje zaniedbań w tym obszarze.
Zrozumienie technicznych aspektów takich ataków jak WannaCry jest kluczowe dla budowania skutecznych strategii obronnych w firmach i instytucjach. Czy chcesz dowiedzieć się więcej o exploitach, podatnościach i mechanizmach obrony przed zaawansowanymi atakami? Zapraszam na moje szkolenia z cyberbezpieczeństwa, gdzie w praktyczny sposób (często z pokazami na żywo!) analizujemy realne zagrożenia i uczymy, jak się przed nimi chronić. Skontaktuj się ze mną, aby zadbać o bezpieczeństwo Twojej organizacji!