Az NCC Group nevű, IT biztonsággal foglalkozó Nagy-britanniai cég nemrégiben egy rövid, ám annál érdekesebb cikket publikált. Egy ügyfelük kérésére átalakították a tavaly júniusban komoly károkat okozó, EternalBlue SMB sérülékenységet kihasználó NotPetya malware-t és a romboló funkciójától megfosztott férget szabadon engedték egy ipari vezérlőrendszer laborkörülmények között reprodukált másolatában.
A módosított malware-t egy mérnöki hálózatban engedték szabadon és semmilyen jogosultságot nem kapott a hálózaton található eszközökön. Első körben a módosított malware három, az EternalBlue sérülékenység ellen nem patch-elt számítógépet talált. A malware-be kódolt exploit-ot használva a NotPetya mindhárom sérülékeny számítógépen kernel szintű jogosultságot szerzett, majd ezzel a jogosultsággal megfertőzte ezeket a számítógépeket.
Tíz percen belül az első három számítógépről szerzett felhasználónevekkel és jelszavakkal a teljes mérnöki hálózatot átfésülte további megfertőzhető eszközöket keresve. Két további perccel később a malware átvette az uralmat a teljes tartomány felett. A módosított NotPety nagyjából 45 perc alatt 107 számítógép felett szerzett irányítást, mielőtt az NCC Group ügyfele aktiválta volna a beépített leállító és eltávolító funkciót.
A teszthez használt NotPetya-variáns terjedésát ezen az ábrán lehet megnézni.
Az NCC Group kutatásáról kiadott publikáció itt érhető el: https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/february/eternalglue-part-two-a-rebuilt-notpetya-gets-its-first-execution-outside-of-the-lab/