NSA工具DoublePulsar已入侵數萬Windows設備，來看你是否也在其中？

背景

Shadow Brokers黑客組織上周泄露了NSA方程式組織的一些工具，其中名為DoublePulsar的後門程序可利用部分Windows系統（Windows XP，Windows Server 2003，Windows 7和8以及Windows 2012）漏洞進行惡意代碼注入及運行。

由於此批工具可被世界各地的腳本小子及在線犯罪分子利用，全世界數十萬暴露在互聯網上的Windows計算機正在受到威脅。據多名安全專家的互聯網掃描顯示，該次事件可能影響數萬Windows系統計算機。

DoublePulsar

DoublePulsar是一個後門程序，用於在已感染的系統上注入和運行惡意代碼。

這是一種NSA用作監聽使用的後門程序，如今在GitHub上得到免費發布後，任何人均可使用。

其軟體是在Windows XP到Server 2008 R2系統版本中的計算機上，通過使用EternalBlue Exploit的SMB文件共享服務埠啟動舊版本下的遠程執行代碼RCE，隨後進行程序的安裝。也就是說，會受到攻擊影響的計算機系統是存在漏洞的Windows版本，因為這給攻擊者提供了其SMB埠。

測試工具

現在也出現了一款免費工具，可以用以測試計算機是否感染DoublePulsar軟體。Countercept安全公司的安全研究員Luke Jennings開發了這款工具。腳本可以從

Github

上進行下載，使用者需要具備一些基本的編程知識。

Jennings表示，他分析Doublepulsar與其伺服器的數據交換後開發了這款工具，

通過識別埠445對一種特殊ping的響應可以得到檢測結果

。當然他最初的意圖並不是以此來掃描全網受感染的機器，而只是用來幫助企業識別自己的網路中遭受感染的情況。

在推特上現在有很多的討論，人們在質疑這個腳本的正確性，因為檢測出「太多」遭受感染的系統。

——Luke Jennings

但事實是，即使人們對於這個檢測結果感到多麼的不可置信，也並沒有人能夠拿出證據證明這個腳本寫錯了。

事態惡化

微軟迅速發布了針對漏洞的補丁，以此消弭安全隱患。但那些不受支持或還沒來得及安裝補丁的系統依舊處在危險之中。

多名安全研究人員就在過去幾天里，進行了互聯網掃描。結果發現全球數萬台Windows計算機感染了DoublePulsar程序。

而來自瑞士Binary Edge安全公司的研究人員進行了互聯網掃描，並檢測到超過107,000台Windows計算機感染了DoublePulsar程序。

來自Errata Security的首席執行官Rob Graham也進行了一個獨立的掃描檢測。結果顯示，存在大約41,000台受到感染的計算機，另有來自Below0day的研究人員檢測到超過30,000台受感染的設備，其中大部分位於美國。

Below0Day，一家滲透測試公司，在Twitter發布了受到DoublePulsar程序影響最嚴重的前25個國家及地區，以美國為首約為11,000台計算機受到感染。而在其他國家如英國，台灣地區及德國也都有超過1

,

500設備受到感染。

受到DoublePulsar程序影響最嚴重的前25個國家及地區

事件影響

DoublePulsar

和EternalBlue都被認為是方程式組織所有的工具，現在任何腳本小子卻可以隨意下載並用來攻擊計算機。一旦安裝在計算機上，DoublePulsar會劫持計算機安裝惡意軟體，發送垃圾郵件給用戶，並對其他受害者發起進一步的網路攻擊。程序為了保持其隱蔽性，並不會在本地寫入任何文件，以此避免計算機重啟後的文件殘留。

雖然公司已經修復了受影響的Windows系統中多數漏洞，但是那些沒有打補丁的計算機很容易遭受到EternalBlue，EternalSampion，EternalSynergy，EternalRomance，EmeraldThread和EducatedScholar等exploit的攻擊。

此外，用戶如果使用的系統是已停止安全更新服務的Windows XP，Windows Server 2003和IIS 6.0系統，也會在應對這些exploit的攻擊時表現得十分脆弱。

由於黑客進行Shadow Brokers轉儲包的下載，進行互聯網掃描，並發起exploit攻擊的過程需要花費數個小時，研究人員認為受到漏洞攻擊的計算機會比實際報告中的更多。

在此次新聞爆出之後，微軟官方發表了聲明稱：

我們懷疑這些報告的準確性，現在正處在調查中。

與此同時，強烈建議至今為止尚未應用MS17-010更新的Windows用戶儘快下載並部署補丁。

用戶也可以通過前文所提到的測試工具自行查看受否受到DoublePulsar影響。

測試工具下載地址

https://github.com/countercept/doublepulsar-c2-traffic-decryptor

*參考來源：thehackernews，networkworld，securityaffairs，本文作者：Elaine，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: