首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >NSA工具DoublePulsar已入侵数万Windows设备,来看你是否也在其中?

NSA工具DoublePulsar已入侵数万Windows设备,来看你是否也在其中?

作者头像
FB客服
修改2020-04-29 15:37:48
2.2K0
修改2020-04-29 15:37:48
举报
文章被收录于专栏:FreeBufFreeBuf

背景

Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统(Windows XP,Windows Server 2003,Windows 7和8以及Windows 2012)漏洞进行恶意代码注入及运行。

由于此批工具可被世界各地的脚本小子及在线犯罪分子利用,全世界数十万暴露在互联网上的Windows计算机正在受到威胁。据多名安全专家的互联网扫描显示,该次事件可能影响数万Windows系统计算机。

DoublePulsar

DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。这是一种NSA用作监听使用的后门程序,如今在GitHub上得到免费发布后,任何人均可使用。其软件是在Windows XP到Server 2008 R2系统版本中的计算机上,通过使用EternalBlue Exploit的SMB文件共享服务端口启动旧版本下的远程执行代码RCE,随后进行程序的安装。也就是说,会受到攻击影响的计算机系统是存在漏洞的Windows版本,因为这给攻击者提供了其SMB端口。

测试工具

现在也出现了一款免费工具,可以用以测试计算机是否感染DoublePulsar软件。Countercept安全公司的安全研究员Luke Jennings开发了这款工具。脚本可以从Github上进行下载,使用者需要具备一些基本的编程知识。

Jennings表示,他分析Doublepulsar与其服务器的数据交换后开发了这款工具,通过识别端口445对一种特殊ping的响应可以得到检测结果。当然他最初的意图并不是以此来扫描全网受感染的机器,而只是用来帮助企业识别自己的网络中遭受感染的情况。

在推特上现在有很多的讨论,人们在质疑这个脚本的正确性,因为检测出“太多”遭受感染的系统。

——Luke Jennings

但事实是,即使人们对于这个检测结果感到多么的不可置信,也并没有人能够拿出证据证明这个脚本写错了。

事态恶化

微软迅速发布了针对漏洞的补丁,以此消弭安全隐患。但那些不受支持或还没来得及安装补丁的系统依旧处在危险之中。

多名安全研究人员就在过去几天里,进行了互联网扫描。结果发现全球数万台Windows计算机感染了DoublePulsar程序。

而来自瑞士Binary Edge安全公司的研究人员进行了互联网扫描,并检测到超过107,000台Windows计算机感染了DoublePulsar程序。

来自Errata Security的首席执行官Rob Graham也进行了一个独立的扫描检测。结果显示,存在大约41,000台受到感染的计算机,另有来自Below0day的研究人员检测到超过30,000台受感染的设备,其中大部分位于美国。

Below0Day,一家渗透测试公司,在Twitter发布了受到DoublePulsar程序影响最严重的前25个国家及地区,以美国为首约为11,000台计算机受到感染。而在其他国家如英国,中国台湾地区及德国也都有超过1,500设备受到感染。

受到DoublePulsar程序影响最严重的前25个国家及地区

事件影响

DoublePulsar和EternalBlue都被认为是方程式组织所有的工具,现在任何脚本小子却可以随意下载并用来攻击计算机。一旦安装在计算机上,DoublePulsar会劫持计算机安装恶意软件,发送垃圾邮件给用户,并对其他受害者发起进一步的网络攻击。程序为了保持其隐蔽性,并不会在本地写入任何文件,以此避免计算机重启后的文件残留。

虽然公司已经修复了受影响的Windows系统中多数漏洞,但是那些没有打补丁的计算机很容易遭受到EternalBlue,EternalSampion,EternalSynergy,EternalRomance,EmeraldThread和EducatedScholar等exploit的攻击。

此外,用户如果使用的系统是已停止安全更新服务的Windows XP,Windows Server 2003和IIS 6.0系统,也会在应对这些exploit的攻击时表现得十分脆弱。

由于黑客进行Shadow Brokers转储包的下载,进行互联网扫描,并发起exploit攻击的过程需要花费数个小时,研究人员认为受到漏洞攻击的计算机会比实际报告中的更多。

在此次新闻爆出之后,微软官方发表了声明称:

我们怀疑这些报告的准确性,现在正处在调查中。

与此同时,强烈建议至今为止尚未应用MS17-010更新的Windows用户尽快下载并部署补丁。

用户也可以通过前文所提到的测试工具自行查看受否受到DoublePulsar影响。

测试工具下载地址 https://github.com/countercept/doublepulsar-c2-traffic-decryptor

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2017-04-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
网站渗透测试
网站渗透测试(Website Penetration Test,WPT)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题,同时提供安全加固意见帮助客户提升系统的安全性。腾讯云网站渗透测试由腾讯安全实验室安全专家进行,我们提供黑盒、白盒、灰盒多种测试方案,更全面更深入的发现客户的潜在风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档