首页>安全资讯>数万台Windows设备被植入DoublePulsar后门

数万台Windows设备被植入DoublePulsar后门

Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统(Windows XP,Windows Server 2003,Windows 7和8以及Windows 2012)漏洞进行恶意代码注入及运行。由于此批工具可被世界各地的脚本小子及在线犯罪分子利用,全世界数十万暴露在互联网上的Windows计算机正在受到威胁。据多名安全专家的互联网扫描显示,该次事件可能影响数万Windows系统计算机。

DoublePulsar

DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。这是一种NSA用作监听使用的后门程序,如今在GitHub上得到免费发布后,任何人均可使用。其软件是在Windows XP到Server 2008 R2系统版本中的计算机上,通过使用EternalBlue Exploit的SMB文件共享服务端口启动旧版本下的远程执行代码RCE,随后进行程序的安装。也就是说,会受到攻击影响的计算机系统是存在漏洞的Windows版本,因为这给攻击者提供了其SMB端口。

测试工具

现在也出现了一款免费工具,可以用以测试计算机是否感染DoublePulsar软件。Countercept安全公司的安全研究员Luke Jennings开发了这款工具。脚本可以从Github上进行下载,使用者需要具备一些基本的编程知识。

Jennings表示,他分析Doublepulsar与其服务器的数据交换后开发了这款工具,通过识别端口445对一种特殊ping的响应可以得到检测结果。当然他最初的意图并不是以此来扫描全网受感染的机器,而只是用来帮助企业识别自己的网络中遭受感染的情况。

在推特上现在有很多的讨论,人们在质疑这个脚本的正确性,因为检测出“太多”遭受感染的系统。

——Luke Jennings

但事实是,即使人们对于这个检测结果感到多么的不可置信,也并没有人能够拿出证据证明这个脚本写错了。

事态恶化

微软迅速发布了针对漏洞的补丁,以此消弭安全隐患。但那些不受支持或还没来得及安装补丁的系统依旧处在危险之中。

多名安全研究人员就在过去几天里,进行了互联网扫描。结果发现全球数万台Windows计算机感染了DoublePulsar程序。

而来自瑞士Binary Edge安全公司的研究人员进行了互联网扫描,并检测到超过107,000台Windows计算机感染了DoublePulsar程序。

来自Errata Security的首席执行官Rob Graham也进行了一个独立的扫描检测。结果显示,存在大约41,000台受到感染的计算机,另有来自Below0day的研究人员检测到超过30,000台受感染的设备,其中大部分位于美国。

Below0Day,一家渗透测试公司,在Twitter发布了受到DoublePulsar程序影响最严重的前25个国家及地区,以美国为首约为11,000台计算机受到感染。而在其他国家如英国,台湾地区及德国也都有超过1,500设备受到感染。

事件影响

DoublePulsar和EternalBlue都被认为是方程式组织所有的工具,现在任何脚本小子却可以随意下载并用来攻击计算机。一旦安装在计算机上,DoublePulsar会劫持计算机安装恶意软件,发送垃圾邮件给用户,并对其他受害者发起进一步的网络攻击。程序为了保持其隐蔽性,并不会在本地写入任何文件,以此避免计算机重启后的文件残留。

虽然公司已经修复了受影响的Windows系统中多数漏洞,但是那些没有打补丁的计算机很容易遭受到EternalBlue,EternalSampion,EternalSynergy,EternalRomance,EmeraldThread和EducatedScholar等exploit的攻击。

此外,用户如果使用的系统是已停止安全更新服务的Windows XP,Windows Server 2003和IIS 6.0系统,也会在应对这些exploit的攻击时表现得十分脆弱。

由于黑客进行Shadow Brokers转储包的下载,进行互联网扫描,并发起exploit攻击的过程需要花费数个小时,研究人员认为受到漏洞攻击的计算机会比实际报告中的更多。

在此次新闻爆出之后,微软官方发表了声明称:

我们怀疑这些报告的准确性,现在正处在调查中。与此同时,强烈建议至今为止尚未应用MS17-010更新的Windows用户尽快下载并部署补丁。

用户也可以通过前文所提到的测试工具自行查看受否受到DoublePulsar影响。

测试工具下载地址https://github.com/countercept/doublepulsar-c2-traffic-decryptor

文章来源:freebuf

相关资讯:

影子经纪人:中国成为受NSA攻击最多的国家

影子经纪人再次释放部分NSA的曾经攻击的目标列表,企图破坏即将到来的美国总统选举。这个列表包含方程组的306个域名历史目标,其中主要包括中国,印度的EMAIL...

NSA后门可让攻击者轻松解密HTTPS、VPN加密流量

路透社10月5日报道称,去年雅虎为美国政府定制了一款秘密工具,可以对上百万雅虎邮箱进行实时扫描,这样一来NSA或FBI就可以实时扫描每一个用户的邮件,搜索...

传美国国家安全局( NSA )被黑客入侵

今年8月,一组叫做影子经纪人(The Shadow Brokers)的黑客救入侵了NSA的御用黑客方程组组织,并泄露了大约300兆的私密信息和黑客工具。