DOUBLEPULSAR LÀ GÌ

  -  
Kiểm tra, khắc phục và hạn chế và phòng phòng mã độc DoublePulsar

DOUBLEPULSAR là một trong trong số các cách thức hacking của NSA bị Shadow Brokers phạt tán vào trung tuần tháng 3 năm 2017, đã có hacker thực hiện trong tự nhiên, với lây nhiễm mã độc lên 30.625 laptop trên toàn thế giới sau 1 tuần phân phát tán.

Bạn đang xem: Doublepulsar là gì

Quý Khách sẽ xem: Doublepulsar Là Gì

Mã độc mở ra một backdoor trên máy tính xách tay bị lan truyền cùng liên kết đến một vị trí từ bỏ xa. Nó kết nối cùng với kẻ tấn công áp dụng một hoặc những giao thức sau:

– RDPhường – SMB

Mã độc DOUBLEPULSAR có thể tiến hành các hành vi sau:

– Kiểm tra sự hiện hữu của bản thân nó – Inject một DLL vào quy trình người tiêu dùng cùng Hotline mang lại hàm được hướng đẫn – Thực thi shellcode từ bỏ kẻ tấn công – Thả shellcode vào một trong những tập tin lên trên đĩa – Tự gỡ setup chính nó

Hiện có tương đối nhiều nước nhà hiện nay đang bị lây lan mã độc DOUBLEPULSAR, trong số ấy gồm VN hiện tại đang có số lượng các máy tính bị nhiễm mã độc này không hề nhỏ. bởi vậy từng trải các quản trị viên cũng tương tự người tiêu dùng thực hiện kiểm tra các sever để bảo vệ không biến thành lây nhiễm mã độc.

HƯỚNG DẪN KIỂM TRA

Bài viết này đưa ra các chính sách chất vấn cũng giống như chỉ dẫn triển khai đánh giá xem máy vi tính kim chỉ nam tất cả bị tác động bởi vì mã độc DOUBLEPULSAR hay là không dựa vào các bình luận kết nối SMB và RDP. tự máy tính kim chỉ nam.

1. Công thay NMAP

Cách 1: Tải chính sách trên trang https://nbản đồ.org/


*

Cách 2: Cài đặt công cụ:



Cách 3: thực thi





2.Công núm doublepulsar-detection-scriptlà tập các python2 script cung cấp quét một liên tưởng IP.. cùng cả một danh sách những IPhường nhằm mục tiêu vạc hiện nay những tương tác IP bị lây nhiễm mã độc DOUBLEPULSAR.

Sau đây là quá trình tiến hành kiểm tra:

Bước 1: Clone script từ github:

git clone https://github.com/countercept/doublepulsar-detection-script.git

Bước 2: Thực thi tệp tin detect_doublepulsar_smb.py nhằm tiến hành quét liên quan IP.. hoặc một list IP mong ước với bình luận kết nối SMB trường đoản cú máy vi tính kim chỉ nam. lấy ví dụ như, nhằm quét một địa chỉ IP:

rootkali:~# pybé detect_doublepulsar_smb.py –ip 192.168.175.128

Kết quả trả về nlỗi sau cho biết laptop phương châm đã biết thành nhiễm mã độc DOUBLEPULSAR thông qua SMB

DOUBLEPULSAR SMB IMPLANT DETECTED!!!

Nếu công dụng trả về như sau cho thấy vật dụng tinh phương châm không bị lây truyền DOUBLEPULSAR

No presence of DOUBLEPULSAR SMB implant

Bước 3: Thực thi tệp tin detect_doublepulsar_ rdp.py để thực hiện quét thúc đẩy IPhường hoặc dải IP. ước muốn với bình luận liên kết RDP. từ bỏ máy tính xách tay mục tiêu. Ví dụ, nhằm quét một list shop IP:

rootkali:~# pyhẹp detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1

lúc kia script vẫn triển khai quét một danh sách hệ trọng IP. cùng trả về công dụng cho từng địa chỉ IPhường nhưng nó triển khai quét, kết quả trả về được mô bỏng nhỏng bên dưới đây:

Sending negotiation request

Server explicitly refused SSL, reconnecting

Sending non-ssl negotiation request

Sending ping packet

No presence of DOUBLEPULSAR RDP. implant

Sending negotiation request

Server chose to use SSL – negotiating SSL connection

Sending SSL client data

Sending ping packet

No presence of DOUBLEPULSAR RDPhường implant

Sending negotiation request

Sending client data

Sending ping packet

DOUBLEPULSAR RDP.. IMPLANT DETECTED!!!

Theo như ví dụ trên, hoàn toàn có thể thấy vào dải IPhường nhưng mà script quét gồm xúc tiến IPhường. 192.168.175.142 được phát hiện nay là bị lây nhiễm mã độc, trong những khi 192.168.175.143 với 192.168.175.141 không biến thành lây nhiễm mã độc.

3.Công gắng smb-double-pulsar-backdoorkhám nghiệm máy vi tính kim chỉ nam gồm đang chạy backdoor DoublePulsar SMB.

Xem thêm: Web-Dl Là Gì - Các Chuẩn Định Dạng Phim Cần Biết

Thực thi câu lệnh sau:

nmap -p 445 –script=smb-double-pulsar-backdoor

Nếu máy vi tính mục tiêu đang hoạt động backdoor DoublePulsar SMB, công dụng trả về nhỏng dưới đây:

| smb-double-pulsar-backdoor:

|VULNERABLE:

|Double Pulsar SMB Backdoor

|State: VULNERABLE

|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)

|The Double Pulsar SMB backdoor was detected running on the remote machine.

|References:

https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/

|https://github.com/countercept/doublepulsar-detection-script

| https://steemit.com/shadowbrokers/theshadowbrokers/lost-in-translation

HƯỚNG DẪN KHẮC PHỤC cùng PHÒNG CHỐNG

1. Khắc phục

Bước 1: Tải bạn dạng vá lỗi của Win

Cách 2: Cập nhật bản vá lỗi

Bước 3: Kiểm tra lại bởi những khí cụ nêu trên

2. Phòng chống

– Ngay lập tức vá các lỗ hổng bảo mật máy chủ với sản phẩm công nghệ cá nhân thực hiện hệ quản lý điều hành Windows, đa phần lỗ hổng EternalBlue (MS17-010).

– Thường xulặng sao giữ tài liệu và có những cách thực hiện backup dữ liệu của đối chọi vị

– Đề chống các links lạ. Đối cùng với các đơn vị, rất tốt bắt buộc tất cả một trang bị riêng biệt để nhân viên cấp dưới remote khi chúng ta nghi hoặc e-mail ko an toàn.

– Người dùng cá nhân luôn cài đặt phần mềm phòng kháng virut trên sản phẩm công nghệ cầm tay và máy tính, nhất là những ứng dụng chuyên biệt dành trị mã độc mã hóa dữ liệu. Các ứng dụng chống chống virut này nên được liên tiếp update mới nhất.

Xem thêm: Coo Là Gì? So Sánh Chief Operating Officer Là Gì ? Top 10 Thuật Ngữ Khi Xin Việc

Chốt hạ lại là bạn nên tập kiến thức thường xuyên sao lưu giữ các dữ liệu đặc biệt quan trọng và mẫn cảm sinh sống còn của bản thân mình chỗ nào kia bên phía ngoài laptop của bản thân mình. Ngoài ổ cứng lưu trữ hiện giờ cũng tốt rồi đề xuất chúng ta có thể quăng quật vài ba cữ cafe mua về tàng trữ dữ liệu, còn tồn tại 500 bạn bè hình thức dịch vụ sao lưu trên mây Cloud khôn xiết tiện nghi luôn luôn sẵn sàng hiến thân giao hàng bạn.

Đường dẫn download các phiên bản vá lỗi Windows Vista mang lại Windows 8.1 và Hệ điều hành quản lý máy chủ Windows 2008 trsinh hoạt về trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

Đường dẫn tải những phiên bản vá mang lại Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc sở hữu đường dẫn tại http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010