Doublepulsar Là Gì

DOUBLEPULSAR là một trong những các quy định hacking của NSA bị Shadow Brokers phân phát tán vào trung tuần tháng 3 năm 2017, sẽ làm cho được hacker thực hiện vào tự nhiên và thoải mái với thoải mái và dễ chịu, cùng với truyền nhiễm mã độc lên 30.625 máy tính xách tay bên trên toàn trái đất sau một tuần phân phát tán.quý khách đã xem: Doublepulsar là gì

Quý khách hàng vẫn xem: Doublepulsar là gì

Mã độc mở ra thêm một backdoor bên trên máy tính xách tay bị truyền nhiễm thuộc liên kết mang đến một vị trí từ bỏ bỏ xa. Nó liên kết cùng với kẻ tấn công tiến hành một hoặc đa số giao thức sau:

– RDP.. – SMB

Mã độc DOUBLEPULSAR vô cùng hoàn toàn có thể triển khai những hành vi sau:

– Kiểm tra sự hiện hữu của phiên bản thân nó – Inject một DLL vào quá trình người tiêu dùng và Hotline mang lại hàm được chỉ định – Thực thi shellcode tự kẻ tấn công – Thả shellcode vào trong 1 tập tin lên trên đĩa – Tự gỡ cài đặt bao hàm nó

Hiện có không ít tổ quốc hiện nay đang bị lây lan mã độc DOUBLEPULSAR, trong những số đó bao hàm đất nước hình chữ S hiện nay đang xuất hiện con số những máy vi tính bị lây lan mã độc này không nhỏ dại. vì chưng vậy trải đời các quản ngại lí trị viên cũng như người tiêu dùng triển khai thẩm tra sổ mọi sever nhằm mục tiêu bảo đảm an toàn an toàn ko biến thành lan truyền mã độc.

Bạn đang xem: Doublepulsar là gì

HƯỚNG DẪN KIỂM TRA

Bài viết này reviews hầu như hiện tượng lạ vấn đáp cũng tương tự hướng dẫn triển khai soát sổ coi máy vi tính pmùi hương châm bao gồm bị ảnh hưởng vày mã độc DOUBLEPULSAR giỏi là ko dựa trên phần đa ý kiến liên kết SMB thuộc RDP. tự máy tính phương châm.

1. Công cầm đồ NMAP

Cách 1: Tải hình thức bề ngoài trên trang https://nbản vật dụng.org/


*

*

*

*

2.Công cầm doublepulsar-detection-scriptlà tập hầu hết python2 script cung cấp quét một siêu thị IPhường cùng cả một list hồ hết IPhường. nhằm mục đích phương châm phạt hiện nay rất nhiều ảnh hưởng IPhường bị lây lan mã độc DOUBLEPULSAR.

Sau đó là các bước thực thi kiểm tra:

Cách 1: Clone script trường đoản cú github:

git clone https://github.com/countercept/doublepulsar-detection-script.git

Cách 2: Thực thi tệp tin detect_doublepulsar_smb.py nhằm triển khai quét tác động ảnh hưởng IPhường hoặc một list IP. ước muốn với chủ kiến liên kết SMB tự bỏ máy tính xách tay phương châm. lấy ví dụ như, để quét một xúc tiến IP:

rootkali:~# pynhỏ dại detect_doublepulsar_smb.py –ip 192.168.175.128

Kết quả trả về nlỗi sau cho biết thêm máy vi tính phương châm đã trở nên Viral mã độc DOUBLEPULSAR trải qua SMB

DOUBLEPULSAR SMB IMPLANT DETECTED!!!

Nếu công dụng trả về nhỏng sau cho thấy trang bị tinc phương châm ko trở thành lây truyền DOUBLEPULSAR

No presence of DOUBLEPULSAR SMB implant

Cách 3: Thực thi tệp tin detect_doublepulsar_ rdp.py để tiến hành quét liên can IPhường hoặc dải IPhường mong muốn với Reviews liên kết RDP trường đoản cú máy tính phương thơm châm. lấy ví dụ như, nhằm mục tiêu quét một list tương quan IP:

rootkali:~# pydong dỏng detect_doublepulsar_rdp.py –tệp tin ips.danh sách –verbose –threads 1

Lúc tê script đang tiến hành quét một danh sách shop IPhường. cùng với trả về hiệu quả đến từng thúc đẩy IPhường mà lại nó triển khai quét, kết quả trả về được mô rộp nhỏng dưới đây:

Sending negotiation request

Server explicitly refused SSL, reconnecting

Sending non-ssl negotiation request

Sending ping packet

No presence of DOUBLEPULSAR RDP.. implant

Sending negotiation request

Server chose béo use SSL – negotiating SSL connection

Sending SSL client data

Sending ping packet

No presence of DOUBLEPULSAR RDP. implant

Sending negotiation request

Sending client data

Sending ping packet

DOUBLEPULSAR RDPhường IMPLANT DETECTED!!!

Theo nlỗi ví dụ trên, có thể thấy vào dải IPhường. dẫu vậy script quét toàn bộ liên can IPhường 192.168.175.142 được phát bây giờ là bị lây nhiễm mã độc, trong lúc 192.168.175.143 cùng 192.168.175.141 không bị lây truyền mã độc.

Xem thêm: #Top1 : Top 12 Game Bắn Máy Bay Offline Pc, Android, Ios Hay Nhất

Thực thi câu lệnh sau:

nphiên bản vật dụng -p 445 –script=smb-double-pulsar-backdoor

Nếu laptop kim chỉ nam vẫn hoạt động backdoor DoublePulsar SMB, hiệu quả trả về như bên dưới đây:

| smb-double-pulsar-backdoor:

|VULNERABLE:

|Double Pulsar SMB Backdoor

|State: VULNERABLE

|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)

|The Double Pulsar SMB backdoor was detected running on the remote machine.

|References:

https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/

|https://github.com/countercept/doublepulsar-detection-script

| https://steemit.com/shadowbrokers/theshadowbrokers/lost-in-translation

HƯỚNG DẪN KHẮC PHỤC với PHÒNG CHỐNG

1. Khắc phục

Cách 1: Tải phiên bạn dạng vá lỗi của Win

Bước 2: Cập nhật bản vá lỗi

Bước 3: Kiểm tra lại bởi vì các cách thức nêu trên

2. Phòng chống

– Ngay nhanh lẹ vá các lỗ hổng bảo mật máy chủ cùng thêm thêm cá thể thực hiện hệ làm chủ Windows, nhiều phần lỗ hổng EternalBlue (MS17-010).

– Thường xuyên sao giữ tài liệu cùng với bao gồm các cách triển khai backup tài liệu của đơn vị

– Đề chống những link kỳ dị. Đối với những đơn vị tính năng, tốt nhất có thể nên gồm một trang bị riêng rẽ để nhân viên cấp cho dưới remote Khi họ nghi ngại e-mail ko thận trọng.

deprecated Vs deprecated

Chốt hạ lại là bạn nên tập kiến thức thường xuyên sao lưu giữ các tài liệu đặc trưng cùng mẫn cảm sinh sống còn của bản thân mình chỗ nào kia bên ngoài máy vi tính của chính bản thân mình. Ngoài ổ cứng tích tụ bây giờ cũng thấp rồi phải chúng ta cũng có thể vứt vài ba ba cữ coffe setup về tích trữ tài liệu, còn tồn tại 500 bạn bè vẻ ngoài hình thức sao giữ lại trên mây Cloud vô cùng tiện nghi luôn luôn luôn luôn chuẩn bị hiến thân ship hàng chúng ta.

Đường dẫn cài các phiên phiên bản vá lỗi Windows Vista cho Windows 8.1 cùng Hệ điều hành quản lý cai quản máy chủ Windows 2008 trsống về trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

Đường dẫn thiết đặt những phiên bản vá mang đến Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc tải băng thông tại http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010