DOUBLEPULSAR LÀ GÌ

     
Kiểm tra, khắc phục và phòng chống mã độc DoublePulsarKiểm tra, khắc phục với phòng chống mã độc DoublePulsar

DOUBLEPULSAR là 1 trong số những công vắt hacking của NSA bị Shadow Brokers phạt tán vào trung tuần mon 3 năm 2017, đang được tin tặc sử dụng trong tự nhiên, cùng lây lan truyền mã độc lên 30.625 máy vi tính trên toàn trái đất sau 1 tuần phát tán.

Bạn đang xem: Doublepulsar là gì

Bạn vẫn xem: Doublepulsar là gì

Bạn đang xem: Doublepulsar Là Gì


Mã độc lộ diện một backdoor trên máy tính xách tay bị nhiễm và liên kết đến một khu vực từ xa. Nó links với kẻ tiến công thực hiện một hoặc hầu như giao thức sau :– RDP – SMBMã độc DOUBLEPULSAR trả toàn hoàn toàn có thể thực thi hầu hết hành vi sau :– soát sổ sự hiện hữu của phiên bản thân nó – Inject một DLL vào tiến trình người tiêu dùng và điện thoại tư vấn đến hàm được hướng dẫn và chỉ định – thực hiện shellcode tự kẻ tiến công – Thả shellcode vào một trong những tập tin bên trên đĩa – tự gỡ tùy chỉnh cấu hình chính nóHiện có tương đối nhiều vương quốc hiện nay đang bị nhiễm mã độc DOUBLEPULSAR, trong các số đó có vn hiện đã có số lượng những máy vi tính bị nhiễm mã độc này rất lớn. Vì vậy nhu cầu những quản trị viên cũng tương tự người dùng tiến hành kiểm tra những sever để đảm bảo không bị lây truyền mã độc .HƯỚNG DẪN KIỂM TRABài viết này chỉ dẫn những khí cụ kiểm tra cũng như hướng dẫn thực thi kiểm tra xem máy vi tính tiềm năng có bị tác động tác động bởi mã độc DOUBLEPULSAR hay là không dựa trên hầu hết phản hồi liên kết SMB với RDP từ laptop tiềm năng .1. Cách thức NMAPBước 1 : Tải khí cụ tại trang https://nmap.org/

*
Bước 2 : setup công cố kỉnh :

Bước 3 : thực thi

2. Giải pháp doublepulsar-detection-scriptlà tập gần như python2 script tương trợ quét một add IP và cả một danh mục những IP nhằm mục đích phát hiện nay những địa chỉ IP bị lây nhiễm mã độc DOUBLEPULSAR .Sau đây là những bước tiến hành kiểm tra :Bước 1 : Clone script từ bỏ github :git clone https://github.com/countercept/doublepulsar-detection-script.gitBước 2 : xúc tiến file detect_doublepulsar_smb.

Xem thêm: Em On Top Không Phải Youtube Không Phải Trên Zing, Lời Bài Hát Bigcityboi

Py để triển khai quét showroom IP hoặc một menu IP mong ước với bội nghịch hồi links SMB từ máy tính tiềm năng. Ví dụ, nhằm quét một địa chỉ IP :rootkali : ~ # python detect_doublepulsar_smb. Py – ip 192.168.175.128Kết quả trả về như sau cho biết thêm máy tính tiềm năng đã biết thành nhiễm mã độc DOUBLEPULSAR trải qua SMBDOUBLEPULSAR SMB IMPLANT DETECTED ! ! !Nếu tính năng trả về như sau cho thấy thêm máy tinh tiềm năng không xẩy ra nhiễm DOUBLEPULSARNo presence of DOUBLEPULSAR SMB implantBước 3 : triển khai file detect_doublepulsar_ rdp.py để thực hiện quét địa chỉ cửa hàng IP hoặc dải IP ước muốn với phản nghịch hồi liên kết RDP từ máy tính xách tay tiềm năng. Ví dụ, nhằm quét một list showroom IP :rootkali : ~ # python detect_doublepulsar_rdp. Py – file ips.list – verbose – threads 1Khi đó script sẽ triển khai quét một list add IP với trả về kết quả cho mỗi add IP mà nó xúc tiến quét, chức năng trả về được mô rộp như dưới đây :Sending negotiation requestServer explicitly refused SSL, reconnectingSending non-ssl negotiation requestSending ping packetNo presence of DOUBLEPULSAR RDP implant

Sending negotiation request


Server chose khổng lồ use SSL – negotiating SSL connectionSending SSL client dataSending ping packetNo presence of DOUBLEPULSAR RDP implantSending negotiation requestSending client dataSending ping packetDOUBLEPULSAR RDP IMPLANT DETECTED ! ! !Theo như ví dụ như trên, trả toàn rất có thể thấy trong dải IP mà script quét có địa chỉ IP 192.168.175.142 được phát hiện là bị lây lan mã độc, trong lúc 192.168.175.143 cùng 192.168.175.141 không trở nên nhiễm mã độc .

Xem thêm: Trái Sapoche Tiếng Anh Là Gì ? Hồng Xiêm In English Quả Sapôchê Tiếng Anh Là Gì

3.Công cụ smb-double-pulsar-backdoorkiểm tra thứ tính mục tiêu có đang làm việc backdoor DoublePulsar SMB.

Thực thi câu lệnh sau :nmap – phường 445 – script = smb-double-pulsar-backdoorNếu máy tính tiềm năng đang chạy backdoor DoublePulsar SMB, công dụng trả về như sau đây