国亚洲欧美日韩精品,亚洲欧美日韩成人一区在线,国产免费看黄的私人影院

NSA工具DoublePulsar已入侵數萬Windows設備，來看你是否也在其中？

責任編輯：editor007

作者：Elaine

2017-04-24 20:56:56

摘自：黑客與極客

Shadow Brokers黑客組織上周泄露了NSA方程式組織的一些工具，其中名為DoublePulsar的后門程序可利用部分Windows系統（Windows XP，Windows Server 2003，Windows 7和8以及Windows 2012）漏洞進行惡意代碼注入及運行。

Shadow Brokers黑客組織上周泄露了NSA方程式組織的一些工具，其中名為DoublePulsar的后門程序可利用部分Windows系統（Windows XP，Windows Server 2003，Windows 7和8以及Windows 2012）漏洞進行惡意代碼注入及運行。由于此批工具可被世界各地的腳本小子及在線犯罪分子利用，全世界數十萬暴露在互聯網上的Windows計算機正在受到威脅。據多名安全專家的互聯網掃描顯示，該次事件可能影響數萬Windows系統計算機。

DoublePulsar

DoublePulsar是一個后門程序，用于在已感染的系統上注入和運行惡意代碼。這是一種NSA用作監聽使用的后門程序，如今在GitHub上得到免費發布后，任何人均可使用。其軟件是在Windows XP到Server 2008 R2系統版本中的計算機上，通過使用EternalBlue Exploit的SMB文件共享服務端口啟動舊版本下的遠程執行代碼RCE，隨后進行程序的安裝。也就是說，會受到攻擊影響的計算機系統是存在漏洞的Windows版本，因為這給攻擊者提供了其SMB端口。

測試工具

現在也出現了一款免費工具，可以用以測試計算機是否感染DoublePulsar軟件。Countercept安全公司的安全研究員Luke Jennings開發了這款工具。腳本可以從Github上進行下載，使用者需要具備一些基本的編程知識。

Jennings表示，他分析Doublepulsar與其服務器的數據交換后開發了這款工具，通過識別端口445對一種特殊ping的響應可以得到檢測結果。當然他最初的意圖并不是以此來掃描全網受感染的機器，而只是用來幫助企業識別自己的網絡中遭受感染的情況。

在推特上現在有很多的討論，人們在質疑這個腳本的正確性，因為檢測出“太多”遭受感染的系統。

——Luke Jennings

但事實是，即使人們對于這個檢測結果感到多么的不可置信，也并沒有人能夠拿出證據證明這個腳本寫錯了。

事態惡化

微軟迅速發布了針對漏洞的補丁，以此消弭安全隱患。但那些不受支持或還沒來得及安裝補丁的系統依舊處在危險之中。

多名安全研究人員就在過去幾天里，進行了互聯網掃描。結果發現全球數萬臺Windows計算機感染了DoublePulsar程序。

而來自瑞士Binary Edge安全公司的研究人員進行了互聯網掃描，并檢測到超過107,000臺Windows計算機感染了DoublePulsar程序。

來自Errata Security的首席執行官Rob Graham也進行了一個獨立的掃描檢測。結果顯示，存在大約41,000臺受到感染的計算機，另有來自Below0day的研究人員檢測到超過30,000臺受感染的設備，其中大部分位于美國。

Below0Day，一家滲透測試公司，在Twitter發布了受到DoublePulsar程序影響最嚴重的前25個國家及地區，以美國為首約為11,000臺計算機受到感染。而在其他國家如英國，臺灣地區及德國也都有超過1,500設備受到感染。

地區分布圖.jpg

　　受到DoublePulsar程序影響最嚴重的前25個國家及地區

事件影響

DoublePulsar和EternalBlue都被認為是方程式組織所有的工具，現在任何腳本小子卻可以隨意下載并用來攻擊計算機。一旦安裝在計算機上，DoublePulsar會劫持計算機安裝惡意軟件，發送垃圾郵件給用戶，并對其他受害者發起進一步的網絡攻擊。程序為了保持其隱蔽性，并不會在本地寫入任何文件，以此避免計算機重啟后的文件殘留。

雖然公司已經修復了受影響的Windows系統中多數漏洞，但是那些沒有打補丁的計算機很容易遭受到EternalBlue，EternalSampion，EternalSynergy，EternalRomance，EmeraldThread和EducatedScholar等exploit的攻擊。

此外，用戶如果使用的系統是已停止安全更新服務的Windows XP，Windows Server 2003和IIS 6.0系統，也會在應對這些exploit的攻擊時表現得十分脆弱。

由于黑客進行Shadow Brokers轉儲包的下載，進行互聯網掃描，并發起exploit攻擊的過程需要花費數個小時，研究人員認為受到漏洞攻擊的計算機會比實際報告中的更多。

在此次新聞爆出之后，微軟官方發表了聲明稱：

我們懷疑這些報告的準確性，現在正處在調查中。

與此同時，強烈建議至今為止尚未應用MS17-010更新的Windows用戶盡快下載并部署補丁。

　　用戶也可以通過前文所提到的測試工具自行查看受否受到DoublePulsar影響。

*參考來源：thehackernews，networkworld，securityaffairs，本文作者：Elaine，轉載請注明來自FreeBuf.COM

DoublePulsar