DOUBLEPULSAR là 1 trong những trong những những pháp luật hacking của NSA bị Shadow Brokers phạt tán vào trung tuần mon 3 năm 2017, đã làm được hacker sử dụng vào thoải mái và tự nhiên, với nhiễm mã độc lên 30.625 máy vi tính trên toàn quả đât sau 1 tuần phát tán.
Bạn đang xem: Doublepulsar là gì
Bạn đã xem: Doublepulsar là gì
Mã độc xuất hiện thêm một backdoor bên trên máy vi tính bị lây lan với liên kết đến một địa điểm từ xa. Nó liên kết với kẻ tấn công sử dụng một hoặc các giao thức sau:
– RDP – SMB
Mã độc DOUBLEPULSAR có thể tiến hành các hành vi sau:
– Kiểm tra sự hiện hữu của phiên bản thân nó – Inject một DLL vào quy trình người tiêu dùng và hotline mang đến hàm được chỉ định và hướng dẫn – Thực thi shellcode tự kẻ tấn công – Thả shellcode vào trong 1 tập tin trên đĩa – Tự gỡ cài đặt bao gồm nó
Hiện có tương đối nhiều đất nước hiện giờ đang bị lây nhiễm mã độc DOUBLEPULSAR, trong số ấy có cả nước hiện đang xuất hiện số lượng các máy tính bị lan truyền mã độc này không nhỏ. Vậy nên những hiểu biết những cai quản trị viên cũng như người dùng thực hiện soát sổ những sever để bảo vệ không biến thành nhiễm mã độc.
HƯỚNG DẪN KIỂM TRA
Bài viết này đưa ra những hiện tượng kiểm soát tương tự như chỉ dẫn triển khai kiểm tra coi máy tính phương châm có bị tác động bởi vì mã độc DOUBLEPULSAR hay không dựa vào những ý kiến liên kết SMB với RDP. trường đoản cú máy tính xách tay phương châm.
1. Công vắt NMAP
Cách 1: Tải nguyên lý trên trang https://nmaps.org/
2.Công cố doublepulsar-detection-scriptlà tập các python2 script cung ứng quét một liên tưởng IPhường với cả một danh sách những IPhường nhằm mục đích vạc hiện nay các tác động IP bị lan truyền mã độc DOUBLEPULSAR.
Sau đó là các bước triển khai kiểm tra:
Bước 1: Clone script tự github:
git clone https://github.com/countercept/doublepulsar-detection-script.git
Cách 2: Thực thi tệp tin detect_doublepulsar_smb.py để tiến hành quét tác động IP hoặc một list IP. mong ước với phản hồi liên kết SMB trường đoản cú máy tính xách tay mục tiêu. lấy một ví dụ, để quét một can hệ IP:
rootkali:~# pythuôn detect_doublepulsar_smb.py –ip 192.168.175.128
Kết trái trả về nlỗi sau cho biết thêm máy tính kim chỉ nam đã bị truyền nhiễm mã độc DOUBLEPULSAR trải qua SMB
DOUBLEPULSAR SMB IMPLANT DETECTED!!!
Nếu tác dụng trả về như sau cho biết thêm thứ tinch phương châm không biến thành nhiễm DOUBLEPULSAR
No presence of DOUBLEPULSAR SMB implant
Bước 3: Thực thi file detect_doublepulsar_ rdp.py để thực hiện quét liên hệ IP hoặc dải IPhường. mong muốn với ý kiến kết nối RDP tự máy vi tính kim chỉ nam. lấy một ví dụ, để quét một list shop IP:
rootkali:~# python thả detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1
lúc đó script sẽ triển khai quét một danh sách địa chỉ IP với trả về kết quả cho từng liên hệ IPhường nhưng nó tiến hành quét, kết quả trả về được mô phỏng như bên dưới đây:
Sending negotiation request
Server explicitly refused SSL, reconnecting
Sending non-ssl negotiation request
Sending ping packet
No presence of DOUBLEPULSAR RDP implant
Sending negotiation request
Server chose lớn use SSL – negotiating SSL connection
Sending SSL client data
Sending ping packet
No presence of DOUBLEPULSAR RDP implant
Sending negotiation request
Sending client data
Sending ping packet
DOUBLEPULSAR RDP IMPLANT DETECTED!!!
Theo như ví dụ trên, hoàn toàn có thể thấy trong dải IP nhưng script quét gồm địa chỉ IP.. 192.168.175.142 được phạt hiện là bị lây lan mã độc, trong những lúc 192.168.175.143 và 192.168.175.141 không xẩy ra lây nhiễm mã độc.
3.Công rứa smb-double-pulsar-backdoorkiểm tra laptop kim chỉ nam có đang hoạt động backdoor DoublePulsar SMB.
Xem thêm: App Supersu Là Gì - Chính Xác Thì Superweb4_User
Thực thi câu lệnh sau:
nmap -p 445 –script=smb-double-pulsar-backdoor
Nếu máy tính mục tiêu đang chạy backdoor DoublePulsar SMB, kết quả trả về nhỏng bên dưới đây:
| smb-double-pulsar-backdoor:
|VULNERABLE:
|Double Pulsar SMB Backdoor
|State: VULNERABLE
|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)
|The Double Pulsar SMB backdoor was detected running on the remote machine.
|References:
https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/
|https://github.com/countercept/doublepulsar-detection-script
| https://steemit.com/shadowbrokers/theshadowbrokers/lost-in-translation
HƯỚNG DẪN KHẮC PHỤC và PHÒNG CHỐNG
1. Khắc phục
Bước 1: Tải bản vá lỗi của Win
Bước 2: Cập nhật phiên bản vá lỗi
Bước 3: Kiểm tra lại bởi những nguyên lý nêu trên
2. Phòng chống
– Ngay nhanh chóng vá các lỗ hổng bảo mật máy chủ với sản phẩm cá nhân thực hiện hệ quản lý Windows, đa số lỗ hổng EternalBlue (MS17-010).
– Thường xuyên ổn sao lưu giữ dữ liệu với gồm các giải pháp backup tài liệu của đơn vị
– Đề chống những links lạ. Đối cùng với các đơn vị, cực tốt buộc phải gồm một thứ riêng rẽ để nhân viên cấp dưới remote khi chúng ta nghi vấn e-mail ko bình an.
– Người cần sử dụng cá nhân luôn luôn tải ứng dụng chống phòng virut bên trên sản phẩm công nghệ cầm tay cùng laptop, nhất là những ứng dụng siêng biệt dành trị mã độc mã hóa tài liệu. Các ứng dụng phòng kháng virut này phải được liên tục update mới nhất.
deprecated Vsdeprecated
Chốt hạ lại là chúng ta nên tập kinh nghiệm thường xuyên sao lưu lại những dữ liệu đặc biệt quan trọng với mẫn cảm sống còn của bản thân mình ở đâu kia phía bên ngoài máy tính xách tay của bản thân. Ngoài ổ cứng lưu trữ hiện nay cũng thấp rồi phải chúng ta có thể quăng quật vài ba cữ cà phê sở hữu về lưu trữ tài liệu, còn tồn tại 500 bạn bè các dịch vụ sao lưu giữ trên mây Cloud khôn xiết tiện dụng luôn sẵn sàng chuẩn bị hiến thân giao hàng các bạn.
Đường dẫn tải những bạn dạng vá lỗi Windows Vista mang lại Windows 8.1 cùng Hệ điều hành và quản lý máy chủ Windows 2008 trsống về trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010 Đường dẫn mua những bản vá mang đến Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc thiết lập băng thông trên http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010 |
