Kiểm tra, khắc phục và hạn chế với chống chống mã độc DoublePulsar

DOUBLEPULSAR là 1 trong những trong những những pháp luật hacking của NSA bị Shadow Brokers phạt tán vào trung tuần mon 3 năm 2017, đã làm được hacker sử dụng vào thoải mái và tự nhiên, với nhiễm mã độc lên 30.625 máy vi tính trên toàn quả đât sau 1 tuần phát tán.

Bạn đang xem: Doublepulsar là gì

Bạn đã xem: Doublepulsar là gì

Mã độc xuất hiện thêm một backdoor bên trên máy vi tính bị lây lan với liên kết đến một địa điểm từ xa. Nó liên kết với kẻ tấn công sử dụng một hoặc các giao thức sau:

– RDP – SMB

Mã độc DOUBLEPULSAR có thể tiến hành các hành vi sau:

– Kiểm tra sự hiện hữu của phiên bản thân nó – Inject một DLL vào quy trình người tiêu dùng và hotline mang đến hàm được chỉ định và hướng dẫn – Thực thi shellcode tự kẻ tấn công – Thả shellcode vào trong 1 tập tin trên đĩa – Tự gỡ cài đặt bao gồm nó

Hiện có tương đối nhiều đất nước hiện giờ đang bị lây nhiễm mã độc DOUBLEPULSAR, trong số ấy có cả nước hiện đang xuất hiện số lượng các máy tính bị lan truyền mã độc này không nhỏ. Vậy nên những hiểu biết những cai quản trị viên cũng như người dùng thực hiện soát sổ những sever để bảo vệ không biến thành nhiễm mã độc.

HƯỚNG DẪN KIỂM TRA

Bài viết này đưa ra những hiện tượng kiểm soát tương tự như chỉ dẫn triển khai kiểm tra coi máy tính phương châm có bị tác động bởi vì mã độc DOUBLEPULSAR hay không dựa vào những ý kiến liên kết SMB với RDP. trường đoản cú máy tính xách tay phương châm.

1. Công vắt NMAP

Cách 1: Tải nguyên lý trên trang https://nmaps.org/


*
*
*
*

2.Công cố doublepulsar-detection-scriptlà tập các python2 script cung ứng quét một liên tưởng IPhường với cả một danh sách những IPhường nhằm mục đích vạc hiện nay các tác động IP bị lan truyền mã độc DOUBLEPULSAR.

Sau đó là các bước triển khai kiểm tra:

Bước 1: Clone script tự github:

git clone https://github.com/countercept/doublepulsar-detection-script.git

Cách 2: Thực thi tệp tin detect_doublepulsar_smb.py để tiến hành quét tác động IP hoặc một list IP. mong ước với phản hồi liên kết SMB trường đoản cú máy tính xách tay mục tiêu. lấy một ví dụ, để quét một can hệ IP:

rootkali:~# pythuôn detect_doublepulsar_smb.py –ip 192.168.175.128

Kết trái trả về nlỗi sau cho biết thêm máy tính kim chỉ nam đã bị truyền nhiễm mã độc DOUBLEPULSAR trải qua SMB

DOUBLEPULSAR SMB IMPLANT DETECTED!!!

Nếu tác dụng trả về như sau cho biết thêm thứ tinch phương châm không biến thành nhiễm DOUBLEPULSAR

No presence of DOUBLEPULSAR SMB implant

Bước 3: Thực thi file detect_doublepulsar_ rdp.py để thực hiện quét liên hệ IP hoặc dải IPhường. mong muốn với ý kiến kết nối RDP tự máy vi tính kim chỉ nam. lấy một ví dụ, để quét một list shop IP:

rootkali:~# python thả detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1

lúc đó script sẽ triển khai quét một danh sách địa chỉ IP với trả về kết quả cho từng liên hệ IPhường nhưng nó tiến hành quét, kết quả trả về được mô phỏng như bên dưới đây:

Sending negotiation request

Server explicitly refused SSL, reconnecting

Sending non-ssl negotiation request

Sending ping packet

No presence of DOUBLEPULSAR RDP implant

Sending negotiation request

Server chose lớn use SSL – negotiating SSL connection

Sending SSL client data

Sending ping packet

No presence of DOUBLEPULSAR RDP implant

Sending negotiation request

Sending client data

Sending ping packet

DOUBLEPULSAR RDP IMPLANT DETECTED!!!

Theo như ví dụ trên, hoàn toàn có thể thấy trong dải IP nhưng script quét gồm địa chỉ IP.. 192.168.175.142 được phạt hiện là bị lây lan mã độc, trong những lúc 192.168.175.143 và 192.168.175.141 không xẩy ra lây nhiễm mã độc.

3.Công rứa smb-double-pulsar-backdoorkiểm tra laptop kim chỉ nam có đang hoạt động backdoor DoublePulsar SMB.

Xem thêm: App Supersu Là Gì - Chính Xác Thì Superweb4_User

Thực thi câu lệnh sau:

nmap -p 445 –script=smb-double-pulsar-backdoor

Nếu máy tính mục tiêu đang chạy backdoor DoublePulsar SMB, kết quả trả về nhỏng bên dưới đây:

| smb-double-pulsar-backdoor:

|VULNERABLE:

|Double Pulsar SMB Backdoor

|State: VULNERABLE

|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)

|The Double Pulsar SMB backdoor was detected running on the remote machine.

|References:

https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/

|https://github.com/countercept/doublepulsar-detection-script

| https://steemit.com/shadowbrokers/theshadowbrokers/lost-in-translation

HƯỚNG DẪN KHẮC PHỤC và PHÒNG CHỐNG

1. Khắc phục

Bước 1: Tải bản vá lỗi của Win

Bước 2: Cập nhật phiên bản vá lỗi

Bước 3: Kiểm tra lại bởi những nguyên lý nêu trên

2. Phòng chống

– Ngay nhanh chóng vá các lỗ hổng bảo mật máy chủ với sản phẩm cá nhân thực hiện hệ quản lý Windows, đa số lỗ hổng EternalBlue (MS17-010).

– Thường xuyên ổn sao lưu giữ dữ liệu với gồm các giải pháp backup tài liệu của đơn vị

– Đề chống những links lạ. Đối cùng với các đơn vị, cực tốt buộc phải gồm một thứ riêng rẽ để nhân viên cấp dưới remote khi chúng ta nghi vấn e-mail ko bình an.

– Người cần sử dụng cá nhân luôn luôn tải ứng dụng chống phòng virut bên trên sản phẩm công nghệ cầm tay cùng laptop, nhất là những ứng dụng siêng biệt dành trị mã độc mã hóa tài liệu. Các ứng dụng phòng kháng virut này phải được liên tục update mới nhất.

deprecated Vs
deprecated

Chốt hạ lại là chúng ta nên tập kinh nghiệm thường xuyên sao lưu lại những dữ liệu đặc biệt quan trọng với mẫn cảm sống còn của bản thân mình ở đâu kia phía bên ngoài máy tính xách tay của bản thân. Ngoài ổ cứng lưu trữ hiện nay cũng thấp rồi phải chúng ta có thể quăng quật vài ba cữ cà phê sở hữu về lưu trữ tài liệu, còn tồn tại 500 bạn bè các dịch vụ sao lưu giữ trên mây Cloud khôn xiết tiện dụng luôn sẵn sàng chuẩn bị hiến thân giao hàng các bạn.

Đường dẫn tải những bạn dạng vá lỗi Windows Vista mang lại Windows 8.1 cùng Hệ điều hành và quản lý máy chủ Windows 2008 trsống về trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

Đường dẫn mua những bản vá mang đến Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc thiết lập băng thông trên http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Về aviarus-21.com

aviarus-21.com - Trang web được thành lập bởi Wordpress. Nội dung trên blog này đều đề cập đến những vấn đề mọi người quan tâm và hay tìm kiếm trên công cụ tìm kiếm "Google" hiện nay, giúp người dùng có thêm nhiều thông tin hay và bổ ích.

Lưu Ý Nội Dung

Mọi thông tin trên website đều mang tính chất tham khảo. Và chúng tôi sẽ không chịu trách nhiệm khi bạn tự ý làm theo mà chưa hỏi ý kiến của chuyên gia.


Mọi thắc mắc xin liên hệ: [email protected]

Quản lý nội dung

Nội dung trên website chủ yếu được sưu tầm từ internet giúp bạn có thêm những tài liệu bổ ích và khách quan nhất. Nếu bạn là chủ sở hữu của những nội dung và không muốn chúng tôi đăng tải, hãy liên hệ với quản trị viên để gỡ bài viết

© COPYRIGHT 2021 BY aviarus-21.com