NSA網路武器DoublePulsar升級，Windows Embedded也淪陷了

E安全6月29日訊 作為「影子經紀人」從美國國家安全局（NSA）下轄方程式小組處竊取到的兩款黑客工具之一，雙脈衝星（DoublePulsar） 後門程序能夠在各類 Windows 版本之上運行，但一直無法與 Windows Embedded 嵌入式操作系統順利對接。

近日，網名為 Capt. Meelo 的安全研究人員發現，只要一行簡單的代碼就足以讓這個後門在 Windows Embedded 設備上正常運行。

後門DoublePulsar

DoublePulsar 後門程序2017年4月正式公布，在短時間內就波及25個國家及地區。當時安恆研究院對全球開放SMB埠的主機進行探測分析發現，全球範圍內檢測發現被入侵植入DoublePulsar後門的主機94,613個，其中檢測到美國被植入後門主機數量為58,072, 佔全球數量的61%, 中國被植入後門主機數量為20,655,佔全球數量的22%。

DoublePulsar 用於在已感染的系統上注入和運行惡意代碼，是 NSA 用作監聽使用的一種複雜的多架構 SMB（伺服器消息塊）後門程序，能夠在受感染機器上很好地掩藏自身行跡。該後門在 NSA 的 FuzzBunch 軟體（類似於 Rapid7 的 Metasploit 漏洞利用框架）中得到使用。

顯然，會受到攻擊影響的計算機系統是存在漏洞的Windows版本，因為這給攻擊者提供了其 SMB 埠。一旦後門被植入，攻擊者就就可以毫無阻礙的向目標機器植入dll 或者 shellcode，植入的任意程序或者代碼將以系統最高許可權運行，導致系統被完全控制。

此前：後門無法與Windows Embedded對接

網名為 Capt. Meelo 的安全研究人員表示，實際上 Windows Embedded 操作系統本身也容易受到 NSA 相關攻擊活動的影響。

這名研究人員發現，Windows Embedded 確實極易受到攻擊，但與漏洞利用相關的 Metasploit 模塊在該平台上無法正常起效。而在嘗試 FuzzBunch 之後，他證明了導致目標設備受到入侵的根源確實是「永恆之藍」。儘管對「永恆之藍」模塊的利用獲得成功，但 DoublePulsar 卻始終無法成功安裝。

本文源自E安全

這位研究人員繼續對該植入物進行分析後發現，只要一行簡單的代碼就足以使其在 Windows Embedded 上順利運行。

如何讓該後門在Windows Embedded 上順利運行？

後門 DoublePulsar 在設計層面會對目標計算機上的 Windows 版本進行檢查，並在 Windows 7 或者其它迭代版本上獲取安裝路徑。然而，這項檢查在 Windows Embedded 當中無法實現，因此會生成一條錯誤信息。

通過簡單修改「Windows 7 OS Check」中的指令，這位研究人員得以強迫該植入物選用特定的安裝路徑。

研究人員 Capt·Meelo 解釋稱：

「為了完成上述目標，我採取的操作為編輯->補丁程序->變更位元組。而後，我將其中的值74（JZ操作碼）更改為75（JNZ操作碼）。

本文源自E安全

接下來，我通過文件->生成文件->創建 DIF 文件，創建出一個 DIF 文件。」

本文源自E安全

本文源自E安全

而利用一份來自網友兼安全愛好者 StalkR 提供的腳本，他隨後修復了這個遭到修改的 .exe 文件，並將修改後的 Doublepulsar-1.3.1.exe 重新移動至其原始位置。

本文源自E安全

如此一來，由此生成的 DLL payload 將得以成功注入至目標主機當中。

本文源自E安全

本文源自E安全

註：本文由E安全編譯報道,轉載請註明原文地址

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！