网站地图 | RSS订阅 老铁博客 - 上海SEO优化|上海网站建设|蜘蛛池出租|站群代搭建
你的位置:首页 » 推广营销 » 正文

数万台Windows设备被植入DoublePulsar后门

2019-8-9 15:34:37 | 作者:老铁SEO | 0个评论 | 人浏览

  Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统(Windows XP,Windows Server 2003,Windows 7和8以及Windows 2012)漏洞进行恶意代码注入及运行。由于此批工具可被世界各地的脚本小子及在线犯罪分子利用,全世界数十万暴露在互联网上的Windows计算机正在受到威胁。据多名安全专家的互联网扫描显示,该次事件可能影响数万Windows系统计算机。

  DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。这是一种NSA用作监听使用的后门程序,如今在GitHub上得到免费发布后,任何人均可使用。其软件是在Windows XP到Server 2008 R2系统版本中的计算机上,通过使用EternalBlue Exploit的SMB文件共享服务端口启动旧版本下的远程执行代码RCE,随后进行程序的安装。也就是说,会受到攻击影响的计算机系统是存在漏洞的Windows版本,因为这给攻击者提供了其SMB端口。

  现在也出现了一款免费工具,可以用以测试计算机是否感染DoublePulsar软件。Countercept安全公司的安全研究员Luke Jennings开发了这款工具。脚本可以从Github上进行下载,使用者需要具备一些基本的编程知识。

  Jennings表示,他分析Doublepulsar与其服务器的数据交换后开发了这款工具,通过识别端口445对一种特殊ping的响应可以得到检测结果。当然他最初的意图并不是以此来扫描全网受感染的机器,而只是用来帮助企业识别自己的网络中遭受感染的情况。

  在推特上现在有很多的讨论,人们在质疑这个脚本的正确性,因为检测出“太多”遭受感染的系统。

  但事实是,即使人们对于这个检测结果感到多么的不可置信,也并没有人能够拿出证据证明这个脚本写错了。

  微软迅速发布了针对漏洞的补丁,以此消弭安全隐患。但那些不受支持或还没来得及安装补丁的系统依旧处在危险之中。

  多名安全研究人员就在过去几天里,进行了互联网扫描。结果发现全球数万台Windows计算机感染了DoublePulsar程序。

  而来自瑞士Binary Edge安全公司的研究人员进行了互联网扫描,并检测到超过107,000台Windows计算机感染了DoublePulsar程序。

  来自Errata Security的首席执行官Rob Graham也进行了一个独立的扫描检测。结果显示,存在大约41,000台受到感染的计算机,另有来自Below0day的研究人员检测到超过30,000台受感染的设备,其中大部分位于美国。

  Below0Day,一家渗透测试公司,在Twitter发布了受到DoublePulsar程序影响最严重的前25个国家及地区,以美国为首约为11,000台计算机受到感染。而在其他国家如英国,台湾地区及德国也都有超过1,500设备受到感染。

  DoublePulsar和EternalBlue都被认为是方程式组织所有的工具,现在任何脚本小子却可以随意下载并用来攻击计算机。一旦安装在计算机上,DoublePulsar会劫持计算机安装恶意软件,发送垃圾邮件给用户,并对其他受害者发起进一步的网络攻击。程序为了保持其隐蔽性,并不会在本地写入任何文件,以此避免计算机重启后的文件残留。

  此外,用户如果使用的系统是已停止安全更新服务的Windows XP,Windows Server 2003和IIS 6.0系统,也会在应对这些exploit的攻击时表现得十分脆弱。

  由于黑客进行Shadow Brokers转储包的下载,进行互联网扫描,并发起exploit攻击的过程需要花费数个小时,研究人员认为受到漏洞攻击的计算机会比实际报告中的更多。

  我们怀疑这些报告的准确性,现在正处在调查中。与此同时,强烈建议至今为止尚未应用MS17-010更新的Windows用户尽快下载并部署补丁。

  用户也可以通过前文所提到的测试工具自行查看受否受到DoublePulsar影响。

  影子经纪人再次释放部分NSA的曾经攻击的目标列表,企图破坏即将到来的美国总统选举。这个列表包含方程组的306个域名历史目标,其中主要包括中国,印度的EMAIL...

  路透社10月5日报道称,去年雅虎为美国政府定制了一款秘密工具,可以对上百万雅虎邮箱进行实时扫描,这样一来NSA或FBI就可以实时扫描每一个用户的邮件,搜索...

  今年8月,一组叫做影子经纪人(The Shadow Brokers)的黑客救入侵了NSA的御用黑客方程组组织,并泄露了大约300兆的私密信息和黑客工具。

  • 本文来自: 老铁博客,转载请保留出处!欢迎发表您的评论
  • 相关标签:后门程序  
  • 已有0位网友发表了一针见血的评论,你还等什么?

    必填

    选填

    记住我,下次回复时不用重新输入个人信息

    必填,不填不让过哦,嘻嘻。

    ◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。