Doublepulsar là gì

     

DOUBLEPULSAR là một trong những trong số những luật hacking của NSA bị Shadow Brokers phát tán vào trung tuần tháng 3 năm 2017, đã được hacker sử dụng vào thoải mái và tự nhiên, cùng nhiễm mã độc lên 30.625 máy tính xách tay trên toàn quả đât sau 1 tuần vạc tán.

Bạn đang xem: Doublepulsar là gì

quý khách hàng đã xem: Doublepulsar là gì

Mã độc xuất hiện một backdoor trên máy vi tính bị lây lan cùng liên kết đến một vị trí tự xa. Nó liên kết với kẻ tấn công sử dụng một hoặc những giao thức sau:

– RDPhường – SMB

Mã độc DOUBLEPULSAR hoàn toàn có thể tiến hành những hành vi sau:

– Kiểm tra sự hiện hữu của bản thân nó – Inject một DLL vào quá trình người tiêu dùng với Call cho hàm được chỉ định – Thực thi shellcode từ bỏ kẻ tiến công – Thả shellcode vào một trong những tập tin trên đĩa – Tự gỡ thiết lập chủ yếu nó

Hiện có rất nhiều giang sơn hiện giờ đang bị lây nhiễm mã độc DOUBLEPULSAR, trong số ấy gồm Việt Nam hiện đang có con số các máy tính bị nhiễm mã độc này rất to lớn. bởi vậy thử dùng các quản ngại trị viên cũng tương tự người tiêu dùng thực hiện kiểm soát các sever để bảo đảm không trở nên lây lan mã độc.

HƯỚNG DẪN KIỂM TRA

Bài viết này giới thiệu những qui định khám nghiệm cũng như khuyên bảo triển khai soát sổ coi máy tính kim chỉ nam có bị ảnh hưởng bởi mã độc DOUBLEPULSAR hay là không dựa trên những phản hồi liên kết SMB và RDP từ máy vi tính phương châm.

1. Công nuốm NMAP

Bước 1: Tải pháp luật tại trang https://nmap.org/


*
*
*
*

2.Công nỗ lực doublepulsar-detection-scriptlà tập những python2 script hỗ trợ quét một can dự IPhường cùng cả một danh sách những IP.. nhằm mục đích phát hiện nay các xúc tiến IPhường bị nhiễm mã độc DOUBLEPULSAR.

Sau đó là các bước thực hiện kiểm tra:

Cách 1: Clone script từ github:

git clone https://github.com/countercept/doublepulsar-detection-script.git

Bước 2: Thực thi file detect_doublepulsar_smb.py để triển khai quét can hệ IPhường hoặc một list IP. ước muốn với đánh giá kết nối SMB từ laptop mục tiêu. Ví dụ, để quét một địa chỉ IP:

rootkali:~# python detect_doublepulsar_smb.py –ip 192.168.175.128

Kết quả trả về nlỗi sau cho thấy thêm laptop phương châm đã bị nhiễm mã độc DOUBLEPULSAR thông qua SMB

DOUBLEPULSAR SMB IMPLANT DETECTED!!!

Nếu tác dụng trả về nlỗi sau cho biết thêm thứ tinh kim chỉ nam không biến thành lây truyền DOUBLEPULSAR

No presence of DOUBLEPULSAR SMB implant

Bước 3: Thực thi file detect_doublepulsar_ rdp.py nhằm tiến hành quét can dự IP hoặc dải IPhường mong muốn với phản hồi liên kết RDP. từ bỏ máy tính kim chỉ nam. ví dụ như, để quét một danh sách liên hệ IP:

rootkali:~# pyhạn hẹp detect_doublepulsar_rdp.py –file ips.danh sách –verbose –threads 1

Khi đó script vẫn thực hiện quét một list liên tưởng IPhường cùng trả về tác dụng cho mỗi cửa hàng IP mà nó thực hiện quét, công dụng trả về được mô rộp nlỗi dưới đây:

Sending negotiation request

Server explicitly refused SSL, reconnecting

Sending non-ssl negotiation request

Sending ping packet

No presence of DOUBLEPULSAR RDP.. implant

Sending negotiation request

Server chose khổng lồ use SSL – negotiating SSL connection

Sending SSL client data

Sending ping packet

No presence of DOUBLEPULSAR RDPhường implant

Sending negotiation request

Sending client data

Sending ping packet

DOUBLEPULSAR RDP.. IMPLANT DETECTED!!!

Theo như ví dụ bên trên, hoàn toàn có thể thấy vào dải IPhường cơ mà script quét có tương tác IPhường 192.168.175.142 được phạt hiện là bị nhiễm mã độc, trong lúc 192.168.175.143 cùng 192.168.175.141 không biến thành lây lan mã độc.

3.Công nuốm smb-double-pulsar-backdoorsoát sổ máy tính phương châm bao gồm đang hoạt động backdoor DoublePulsar SMB.

Xem thêm: Top 11 Game Đánh Theo Lượt Android, Ios, Top Game Đánh Theo Lượt Mobile 2021 Hay Nhất

Thực thi câu lệnh sau:

nbản đồ -p 445 –script=smb-double-pulsar-backdoor

Nếu laptop mục tiêu đang chạy backdoor DoublePulsar SMB, kết quả trả về nlỗi bên dưới đây:

| smb-double-pulsar-backdoor:

|VULNERABLE:

|Double Pulsar SMB Backdoor

|State: VULNERABLE

|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)

|The Double Pulsar SMB backdoor was detected running on the remote machine.

|References:

https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/

|https://github.com/countercept/doublepulsar-detection-script

| https://steemit.com/shadowbrokers/theshadowbrokers/lost-in-translation

HƯỚNG DẪN KHẮC PHỤC cùng PHÒNG CHỐNG

1. Khắc phục

Cách 1: Tải bạn dạng vá lỗi của Win

Cách 2: Cập nhật bản vá lỗi

Bước 3: Kiểm tra lại bằng những chế độ nêu trên

2. Phòng chống

– Ngay mau chóng vá những lỗ hổng bảo mật sever với sản phẩm công nghệ cá thể áp dụng hệ quản lý và điều hành Windows, chủ yếu lỗ hổng EternalBlue (MS17-010).

– Thường xuyên sao lưu tài liệu với gồm những cách thực hiện backup tài liệu của đối chọi vị

– Đề chống các link kỳ lạ. Đối cùng với các đơn vị chức năng, cực tốt yêu cầu có một thiết bị riêng nhằm nhân viên cấp dưới remote Khi chúng ta nghi ngại e-mail không an toàn.

– Người cần sử dụng cá thể luôn luôn sở hữu phần mềm phòng chống virut trên lắp thêm di động với máy vi tính, nhất là những phần mềm chuyên biệt dành trị mã độc mã hóa dữ liệu. Các ứng dụng chống chống virus này đề xuất được liên tiếp update mới nhất.

Xem thêm: Đảo Hải Tặc Tập 978 Vietsub, One Piece Vua Hải Tặc Tập 978 Vietsub

deprecated Vs
deprecated

Chốt hạ lại là bạn nên tập thói quen thường xuyên sao giữ các tài liệu quan trọng đặc biệt với nhạy cảm sống còn của chính mình chỗ nào đó bên ngoài máy tính xách tay của bản thân. Ngoài ổ cứng lưu trữ hiện thời cũng tốt rồi buộc phải chúng ta có thể bỏ vài cữ cà phê sở hữu về tàng trữ tài liệu, còn tồn tại 500 đồng đội các dịch vụ sao giữ bên trên mây Cloud siêu tiện dụng luôn sẵn sàng chuẩn bị hiến thân giao hàng chúng ta.

Đường dẫn sở hữu các phiên bản vá lỗi Windows Vista cho Windows 8.1 cùng Hệ quản lý và điều hành sever Windows 2008 trngơi nghỉ về trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

Đường dẫn thiết lập các bản vá đến Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc cài đặt băng thông trên http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010


Chuyên mục: Tin Tức