Kiểm tra, xung khắc phục và phòng phòng mã độc DoublePulsar

DOUBLEPULSAR là 1 trong số những công vắt hacking của NSA bị Shadow Brokers phạt tán vào trung tuần tháng 3 năm 2017, vẫn được tin tặc sử dụng trong tự nhiên, cùng lây lây nhiễm mã độc lên 30.625 laptop trên toàn nhân loại sau một tuần lễ phát tán.

Bạn đang xem: Doublepulsar là gì

Bạn vẫn xem: Doublepulsar là gìBạn vẫn xem: Doublepulsar là gì

Bạn đã xem: Doublepulsar là gì

Mã độc xuất hiện một backdoor trên laptop bị truyền nhiễm và kết nối đến một địa điểm từ xa. Nó liên kết với kẻ tấn công sử dụng một hoặc những giao thức sau:

– RDP – SMB

Mã độc DOUBLEPULSAR hoàn toàn có thể thực hiện các hành động sau:

– chất vấn sự hiện diện của phiên bản thân nó – Inject một DLL vào tiến trình người dùng và hotline đến hàm được chỉ định – thực thi shellcode từ bỏ kẻ tấn công – Thả shellcode vào trong 1 tập tin bên trên đĩa – từ gỡ setup chính nó

Hiện có nhiều quốc gia hiện nay đang bị nhiễm mã độc DOUBLEPULSAR, trong những số đó có việt nam hiện đang có số lượng các máy vi tính bị truyền nhiễm mã độc này siêu lớn. Vì thế yêu cầu những quản trị viên cũng tương tự người dùng tiến hành kiểm tra các máy chủ để bảo đảm an toàn không bị lây lan mã độc.

HƯỚNG DẪN KIỂM TRA

Bài viết này gửi ra những công nỗ lực kiểm tra tương tự như hướng dẫn tiến hành kiểm tra xem sản phẩm tính phương châm có bị tác động bởi mã độc DOUBLEPULSAR hay không dựa trên các phản hồi liên kết SMB và RDP từ máy tính mục tiêu.

1. Qui định NMAP

Bước 1: Tải chế độ tại trang https://nmap.org/


*

*

*

*

2.Công nắm doublepulsar-detection-scriptlà tập những python2 script cung cấp quét một địa chỉ IP cùng cả một danh sách các IP nhằm phát hiện tại các showroom IP bị lây lan mã độc DOUBLEPULSAR.

Sau đây là công việc thực hiện kiểm tra:

Bước 1: Clone script trường đoản cú github:

git clone https://github.com/countercept/doublepulsar-detection-script.git

Bước 2: thực thi file detect_doublepulsar_smb.py để tiến hành quét địa chỉ IP hoặc một list IP ước muốn với làm phản hồi kết nối SMB từ máy tính xách tay mục tiêu. Ví dụ, để quét một showroom IP:

rootkali:~# python detect_doublepulsar_smb.py –ip 192.168.175.128

Kết trái trả về như sau cho thấy máy tính mục tiêu đã biết thành nhiễm mã độc DOUBLEPULSAR thông qua SMB

DOUBLEPULSAR SMB IMPLANT DETECTED!!!

Nếu kết quả trả về như sau cho thấy máy tinh mục tiêu không trở nên nhiễm DOUBLEPULSAR

No presence of DOUBLEPULSAR SMB implant

Bước 3: thực thi file detect_doublepulsar_ rdp.py để thực hiện quét add IP hoặc dải IP mong ước với làm phản hồi liên kết RDP từ máy tính xách tay mục tiêu. Ví dụ, nhằm quét một danh sách địa chỉ IP:

rootkali:~# python detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1

Khi kia script sẽ tiến hành quét một danh sách địa chỉ IP cùng trả về hiệu quả cho mỗi địa chỉ cửa hàng IP nhưng nó triển khai quét, kết quả trả về được mô bỏng như dưới đây:

Sending negotiation request

hệ thống explicitly refused SSL, reconnecting

Sending non-ssl negotiation request

Sending ping packet

No presence of DOUBLEPULSAR RDP implant

Sending negotiation request

hệ thống chose khổng lồ use SSL – negotiating SSL connection

Sending SSL client data

Sending ping packet

No presence of DOUBLEPULSAR RDP implant

Sending negotiation request

Sending client data

Sending ping packet

DOUBLEPULSAR RDP IMPLANT DETECTED!!!

Thực thi câu lệnh sau:

nmap -p 445 –script=smb-double-pulsar-backdoor

Nếu laptop mục tiêu đang hoạt động backdoor DoublePulsar SMB, công dụng trả về như dưới đây:

| smb-double-pulsar-backdoor:

|VULNERABLE:

|Double Pulsar SMB Backdoor

|State: VULNERABLE

|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)

|The Double Pulsar SMB backdoor was detected running on the remote machine.

|References:

https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/

|https://github.com/countercept/doublepulsar-detection-script

| https://steemit.com/shadowbrokers/theshadowbrokers/lost-in-translation

HƯỚNG DẪN KHẮC PHỤC cùng PHÒNG CHỐNG

1. Khắc phục

Bước 1: Tải bản vá lỗi của Win

Bước 2: Cập nhật bản vá lỗi

Bước 3: khám nghiệm lại bằng những công rứa nêu trên

2. Phòng chống

– Ngay nhanh chóng vá các lỗ hổng bảo mật máy chủ và máy cá nhân sử dụng hệ quản lý Windows, hầu hết lỗ hổng EternalBlue (MS17-010).

Xem thêm: Giải Bài Tập Giáo Dục Công Dân 12 Bài 1, Giải Bài Tập Sgk Bài 1 Gdcd 12

– liên tiếp sao lưu tài liệu và có những phương án backup tài liệu của đơn vị

deprecated Vs deprecated

Chốt hạ lại là bạn nên tập thói quen liên tiếp sao lưu các dữ liệu quan trọng đặc biệt và nhạy cảm sống còn của mình ở đâu đó bên phía ngoài máy tính của mình. Ngoài ổ cứng lưu lại trữ hiện thời cũng rẻ rồi nên chúng ta cũng có thể bỏ vài cữ cafe mua về tàng trữ dữ liệu, còn có 500 bạn bè dịch vụ sao lưu giữ trên mây Cloud khôn xiết tiện dụng luôn luôn sẵn sàng hiến thân giao hàng bạn.

Đường dẫn cài đặt các phiên bản vá lỗi Windows Vista cho Windows 8.1 cùng Hệ điều hành sever Windows 2008 quay trở lại trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

Đường dẫn cài đặt các bản vá mang đến Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc tải đường dẫn tại http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010