前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >动态 | 已确认超过9万台机器被植入DoublePulsar后门

动态 | 已确认超过9万台机器被植入DoublePulsar后门

作者头像
安恒信息
发布2018-04-11 11:32:29
1.3K0
发布2018-04-11 11:32:29
举报
文章被收录于专栏:安恒信息

北京时间 2017 年 4 月 14 日晚,黑客团体Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 23 个最新黑客工具,其中包含了多个Windows远程漏洞利用工具。漏洞利用几乎涉及到所有的Windows版本,一旦拥有了这些工具,远程攻击者可以非常简单的入侵受影响的系统,而要做的也许仅仅只是输入目标的IP。

事件发生后,安恒信息安全研究院第一时间对泄露的漏洞和利用工具进行分析,并对相应的事件影响进行评估。

1. 泄露工具影响

目前已知受影响的 Windows 版本包括但不限于:Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

主要攻击工具说明:

工具中有多个工具利用的是SMB服务中的远程溢出漏洞来进行攻击。SMB服务是Windows系统上运行的最常用协议之一,利用这类漏洞非常容易且成功率高,远程攻击者无需经过任何身份认证,只需向开放了SMB服务的机器发送特制报文即可在目标系统上执行任意命令。因此,相关工具危害巨大,堪称本次泄露的0day漏洞利用工具包中的“大杀器”。

2. DoublePulsar 后门

分析发现,当攻击者利用泄露的工具成功入侵目标机器后,会在目标机器对应的SMB端口植入一个名为DoublePulsar的后门程序。远程攻击者可以利用该后门向目标机器植入dll或者shellcode:

因本次事件的突发性以及泄露漏洞利用工具的易用性,网络上受影响主机的安全受到了严重影响。攻击者可以在悄无声息的情况下入侵主机,并植入后门。

大部分的漏洞发生在Windows内核对协议处理的过程中,一旦后门被植入,攻击者就就可以毫无阻碍的向目标机器植入dll或者shellcode,植入的任意程序或者代码将以系统最高权限运行,系统被完全控制。

为了更好的监测本次泄露事件的影响,安恒研究院在全网范围内对存在相关漏洞风险的主机以及被植入DoublePulsar后门的主机进行了统计分析。

3. 全球范围受影响统计分析

在本次事件统计过程中,安恒研究院对全球开放SMB端口的 2,901,094 个主机进行探测分析,开放SMB端口主机全球分布视角图如下:

其中被确认存在相关漏洞的主机 164,263 个,可疑的存在漏洞的主机 1,787,640 个,受威胁主机占比高达67.2%

全球存在风险漏洞的主机分布视角图如下:

其中检测到中国漏洞主机数量为 57,591 ,占全球的35% , 风险指数位居首位, 美国受影响数为 25,086

全球范围内检测发现被入侵植入DoublePulsar后门的主机 94,613 个,分布视角图如下:

其中检测到美国被植入后门主机数量为 58,072 , 占全球数量的61% , 中国被植入后门主机数量为 20,655 ,占全球数量的22%

可见,本次事件在全球范围内造成了极大的影响,网络上大量主机的存在漏洞风险,较多未受保护主机已被入侵并植入后门。

4. 国内受影响统计分析

检测中国开放SMB端口的主机数量为 51,3682 ,分布视角图如下:

其中存在漏洞威胁的主机分布视角图如下:

国内受漏洞影响的主要地区分布在中国台湾、浙江、山东、江苏、北京。其中中国台湾地区数量为 17,506 , 占全国总量的 30% , 居首位,浙江地区数量为 10,162 , 占比 18%

国内已被植入后门的主机数量为 20,655 , 地域分布情况视角图如下:

被入侵主机主要分布在中国香港、中国台湾、贵州、江西以及浙江, 其中中国香港地区数量 12,335 ,占全国总数的 59%

5. 警示

通过上述分析,可以看出本次事件对全网范围内的影响较大,大量的主机未进行防护并已被植入后门。

为了防止造成更大的危害,需要尽快对受影响的主机进行安全维护工作。对于已经被植入后门的主机应尽快处理,避免造成更大的危害。

紧急修复建议 :

1.

Windows安全更新,相关补丁地址:

https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.

对于不能及时更新系统的主机, 临时配置防火墙或者安全策略, 屏蔽445、135、137以及3389端口。

值得注意的是,微软已不再为不在服务期内的版本(Windows 7之前版本及Windows Server 2008之前版本)发布补丁,因此安恒信息提醒Windows操作系统用户,若仍在使用Windows 7之前版本及Windows Server 2008之前版本,请将系统升级到服务期内的版本并及时安装可用的补丁

- END -

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-04-20,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档