NSA工具DoublePulsar已入侵数万Windows设备,来看你是否也在其中?

背景

Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统(Windows XP,Windows Server 2003,Windows 7和8以及Windows 2012)漏洞进行恶意代码注入及运行。

由于此批工具可被世界各地的脚本小子及在线犯罪分子利用,全世界数十万暴露在互联网上的Windows计算机正在受到威胁。据多名安全专家的互联网扫描显示,该次事件可能影响数万Windows系统计算机。

DoublePulsar

DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。这是一种NSA用作监听使用的后门程序,如今在GitHub上得到免费发布后,任何人均可使用。其软件是在Windows XP到Server 2008 R2系统版本中的计算机上,通过使用EternalBlue Exploit的SMB文件共享服务端口启动旧版本下的远程执行代码RCE,随后进行程序的安装。也就是说,会受到攻击影响的计算机系统是存在漏洞的Windows版本,因为这给攻击者提供了其SMB端口。

测试工具

现在也出现了一款免费工具,可以用以测试计算机是否感染DoublePulsar软件。Countercept安全公司的安全研究员Luke Jennings开发了这款工具。脚本可以从Github上进行下载,使用者需要具备一些基本的编程知识。

Jennings表示,他分析Doublepulsar与其服务器的数据交换后开发了这款工具,通过识别端口445对一种特殊ping的响应可以得到检测结果。当然他最初的意图并不是以此来扫描全网受感染的机器,而只是用来帮助企业识别自己的网络中遭受感染的情况。

在推特上现在有很多的讨论,人们在质疑这个脚本的正确性,因为检测出“太多”遭受感染的系统。

——Luke Jennings

但事实是,即使人们对于这个检测结果感到多么的不可置信,也并没有人能够拿出证据证明这个脚本写错了。

事态恶化

微软迅速发布了针对漏洞的补丁,以此消弭安全隐患。但那些不受支持或还没来得及安装补丁的系统依旧处在危险之中。

多名安全研究人员就在过去几天里,进行了互联网扫描。结果发现全球数万台Windows计算机感染了DoublePulsar程序。

而来自瑞士Binary Edge安全公司的研究人员进行了互联网扫描,并检测到超过107,000台Windows计算机感染了DoublePulsar程序。

来自Errata Security的首席执行官Rob Graham也进行了一个独立的扫描检测。结果显示,存在大约41,000台受到感染的计算机,另有来自Below0day的研究人员检测到超过30,000台受感染的设备,其中大部分位于美国。

Below0Day,一家渗透测试公司,在Twitter发布了受到DoublePulsar程序影响最严重的前25个国家及地区,以美国为首约为11,000台计算机受到感染。而在其他国家如英国,中国台湾地区及德国也都有超过1,500设备受到感染。

受到DoublePulsar程序影响最严重的前25个国家及地区

事件影响

DoublePulsar和EternalBlue都被认为是方程式组织所有的工具,现在任何脚本小子却可以随意下载并用来攻击计算机。一旦安装在计算机上,DoublePulsar会劫持计算机安装恶意软件,发送垃圾邮件给用户,并对其他受害者发起进一步的网络攻击。程序为了保持其隐蔽性,并不会在本地写入任何文件,以此避免计算机重启后的文件残留。

虽然公司已经修复了受影响的Windows系统中多数漏洞,但是那些没有打补丁的计算机很容易遭受到EternalBlue,EternalSampion,EternalSynergy,EternalRomance,EmeraldThread和EducatedScholar等exploit的攻击。

此外,用户如果使用的系统是已停止安全更新服务的Windows XP,Windows Server 2003和IIS 6.0系统,也会在应对这些exploit的攻击时表现得十分脆弱。

由于黑客进行Shadow Brokers转储包的下载,进行互联网扫描,并发起exploit攻击的过程需要花费数个小时,研究人员认为受到漏洞攻击的计算机会比实际报告中的更多。

在此次新闻爆出之后,微软官方发表了声明称:

我们怀疑这些报告的准确性,现在正处在调查中。

与此同时,强烈建议至今为止尚未应用MS17-010更新的Windows用户尽快下载并部署补丁。

用户也可以通过前文所提到的测试工具自行查看受否受到DoublePulsar影响。

测试工具下载地址 https://github.com/countercept/doublepulsar-c2-traffic-decryptor

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Linux下恶意文件大规模共性分析探讨

有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行...

31760
来自专栏FreeBuf

看我如何发现Facebook注册用户手机号码

近期,曾通过链接重定向方法劫持川普Twitter的比利时黑客@securinti,发现了从Facebook查找注册用户手机号码的方法,我们一起来看看。以下是@s...

399100
来自专栏腾讯移动品质中心TMQ的专栏

canvas / webgl 测试数据稳定性专项优化优秀实践

Canvas / webgl测试的是浏览器内核的渲染能力。通常会选取一些业界常用的测试页面作为测试用例,本文主要讲述canvas / webgl 测试数据稳定性...

69010
来自专栏Youngxj

web安全思维图

20190
来自专栏安恒信息

从《公安机关网络安全执法检查自查表》看2018年网络安全执法检查工作

《公安机关网络安全执法检查自查表》是配合每年公安机关开展网络安全执法检查的重要工具之一,该表格主要有行业主管部门网络安全领导保障情况调查、各单位信息系统网络安全...

46710
来自专栏FreeBuf

安卓很受伤:Black Hat 2015黑客大会上将公布的6个移动安全威胁

Black Hat 2015召开在即,现在随小编一起瞅瞅下个月将在Black Hat USA公布的一些Android安全威胁吧。 64位Android Root...

21590
来自专栏域名资讯

难道是谷歌?花82.2万元买域名的现身了...

英文域名gradient.com在Godaddy平台上以125000美元结拍。关于这枚域名的交易留下了不少疑问,到底是谁买下的?为何要买域名?由于隐私保护原因,...

11200
来自专栏程序人生

Botwall - Bot Firewall??

Mountain View的El Camino Real和Castro交界的地方,有一栋大楼,地址是:800 W El Camino Real,里面入驻了不少创...

38070
来自专栏FreeBuf

追踪、定位、监听一个也不能少:最强悍的监控间谍软件FlexiSPY源码泄露

4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档。 这家监控公司其实是一家总部位于泰国(...

859100
来自专栏FreeBuf

暗影追踪 | 谁是LeakedSource.com的幕后运营者?

在LeakedSource突然关停之际,安全专家Brian Krebs利用蛛丝马迹的线索,通过层层抽丝剥茧,顺藤摸瓜,最终确定了LeakedSource幕后运营...

32350

扫码关注云+社区

领取腾讯云代金券