Ewigblau

Das EternalBlue-Ausbeutungsgerät ist nicht neu, da es im April 2017 von einer Gruppe namens "The Shadows Brokers" durchgesickert ist. Das EternalBlue-Ausnutzungsgerät nutzt Schwachstellen bei der Implementierung des SMB-Protokolls von Windows und kann mit alten Versionen arbeiten, die vor der Veröffentlichung von Windows 8 verwendet wurden, da sie über eine Interprozesskommunikationsfreigabe (IPC$) verfügen, die eine Nullsitzung ermöglicht. Durch die Verwendung der Null-Sitzung können die Kriminellen eine Verbindung mit einem anonymen Login herstellen, das die Null-Sitzung standardmäßig aktiviert, sodass der Server mehrere Befehle vom Client empfangen kann.

Das EternalBlue-Ausnutzungsgerät nutzt drei Fehler aus, den "Nicht ausgelagerten Poolzuordnungsfehler", den "Wrong Casting Bug" und den "Wrong Parsing Function Bug". Der Non-Paged Pool Allocation Bug installiert verschiedene bedrohliche Komponenten auf den infizierten Computern und greift diejenigen mit schwachen Passwörtern an. Das EternalBlue-Ausbeutungsgerät fügt auch einen Monero-Krypto-Miner hinzu, XMRig, der sein Hauptziel erreichen wird. Krypto-Mining. Das EternalBlue-Ausbeutungsgerät kann auch verwendet werden, um viele weitere Aufgaben auf den Geräten auszuführen, die es infiziert. Betroffene Computerbenutzer sollten ein Anti-Malware-Produkt verwenden, um das EternalBlue-Ausnutzungsgerät sofort zu erkennen und von ihren Computern zu entfernen.