动态 | 已确认超过9万台机器被植入DoublePulsar后门

北京时间 2017 年 4 月 14 日晚，黑客团体Shadow Brokers （影子经纪人）再次泄露了一份 117.9 MB 的 NSA 机密文档，内含 23 个最新黑客工具，其中包含了多个Windows远程漏洞利用工具。漏洞利用几乎涉及到所有的Windows版本，一旦拥有了这些工具，远程攻击者可以非常简单的入侵受影响的系统，而要做的也许仅仅只是输入目标的IP。

事件发生后，安恒信息安全研究院第一时间对泄露的漏洞和利用工具进行分析，并对相应的事件影响进行评估。

1. 泄露工具影响

目前已知受影响的 Windows 版本包括但不限于：Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

主要攻击工具说明：

工具中有多个工具利用的是SMB服务中的远程溢出漏洞来进行攻击。SMB服务是Windows系统上运行的最常用协议之一，利用这类漏洞非常容易且成功率高，远程攻击者无需经过任何身份认证，只需向开放了SMB服务的机器发送特制报文即可在目标系统上执行任意命令。因此，相关工具危害巨大，堪称本次泄露的0day漏洞利用工具包中的“大杀器”。

2. DoublePulsar 后门

分析发现，当攻击者利用泄露的工具成功入侵目标机器后，会在目标机器对应的SMB端口植入一个名为DoublePulsar的后门程序。远程攻击者可以利用该后门向目标机器植入dll或者shellcode：

因本次事件的突发性以及泄露漏洞利用工具的易用性，网络上受影响主机的安全受到了严重影响。攻击者可以在悄无声息的情况下入侵主机，并植入后门。

大部分的漏洞发生在Windows内核对协议处理的过程中，一旦后门被植入，攻击者就就可以毫无阻碍的向目标机器植入dll或者shellcode，植入的任意程序或者代码将以系统最高权限运行，系统被完全控制。

为了更好的监测本次泄露事件的影响，安恒研究院在全网范围内对存在相关漏洞风险的主机以及被植入DoublePulsar后门的主机进行了统计分析。

3. 全球范围受影响统计分析

在本次事件统计过程中，安恒研究院对全球开放SMB端口的 2,901,094 个主机进行探测分析，开放SMB端口主机全球分布视角图如下：

其中被确认存在相关漏洞的主机 164,263 个，可疑的存在漏洞的主机 1,787,640 个，受威胁主机占比高达67.2% 。

全球存在风险漏洞的主机分布视角图如下：

其中检测到中国漏洞主机数量为 57,591 ，占全球的35% , 风险指数位居首位, 美国受影响数为 25,086 。

全球范围内检测发现被入侵植入DoublePulsar后门的主机 94,613 个，分布视角图如下：

其中检测到美国被植入后门主机数量为 58,072 , 占全球数量的61% , 中国被植入后门主机数量为 20,655 ,占全球数量的22% 。

可见，本次事件在全球范围内造成了极大的影响，网络上大量主机的存在漏洞风险，较多未受保护主机已被入侵并植入后门。

4. 国内受影响统计分析

检测中国开放SMB端口的主机数量为 51,3682 ，分布视角图如下：

其中存在漏洞威胁的主机分布视角图如下：

国内受漏洞影响的主要地区分布在中国台湾、浙江、山东、江苏、北京。其中中国台湾地区数量为 17,506 , 占全国总量的 30% , 居首位，浙江地区数量为 10,162 , 占比 18% 。

国内已被植入后门的主机数量为 20,655 , 地域分布情况视角图如下：

被入侵主机主要分布在中国香港、中国台湾、贵州、江西以及浙江, 其中中国香港地区数量 12,335 ，占全国总数的 59% 。

5. 警示

通过上述分析，可以看出本次事件对全网范围内的影响较大，大量的主机未进行防护并已被植入后门。

为了防止造成更大的危害，需要尽快对受影响的主机进行安全维护工作。对于已经被植入后门的主机应尽快处理，避免造成更大的危害。

紧急修复建议 :

1.

Windows安全更新，相关补丁地址：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.

对于不能及时更新系统的主机, 临时配置防火墙或者安全策略, 屏蔽445、135、137以及3389端口。

值得注意的是，微软已不再为不在服务期内的版本（Windows 7之前版本及Windows Server 2008之前版本）发布补丁，因此安恒信息提醒Windows操作系统用户，若仍在使用Windows 7之前版本及Windows Server 2008之前版本，请将系统升级到服务期内的版本并及时安装可用的补丁。

- END -