Shadow Brokers组织泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统漏洞进行恶意代码注入。微软官方目前仍拒绝承认此次 过万Windows计算机被NSA后门程序感染 ,而这起事件的研究空缺正由私人研究员接手处理。最新的进展是在本周二,一种可远程卸除DoublePulsar后门的安全工具已被开放在GitHub上,用户可以自行下载,进行检测并进行相关操作。
影响持续扩大
在上周五的傍晚,微软官方发布了申明,称他们对多起互联网范围内的扫描检测所呈现的从30,000至100,000数量的计算机设备受到后门程序影响的报告结果表示质疑。当然,这个声明并没有提供任何基于事实基础的质疑,官方也未能对到周二为止的数据更新作出回应。截止到周末,Below0day发布最新的扫描结果显示56,586台Windows设备受到影响,在三天前的结果30,626台的基础上增长了85%。
在上周其他的独立检测的报告中,以上结果的数据结果稍微偏低。而在周一的时候,Rendition Infosec发布了一篇 博客 称DoublePulsar感染案例正在上升,其研究人员确定扫描结果是真实反应实际情况的。
Rendition创始人Jake Williams说:
这个数字只是冰山一角,我确定感染数量会超过120,000。
使用检测工具卸除后门程序
在周二的时候,Countercept安全公司对于上周发布的DoublePulsar检测脚本进行了更新。用户可以从网上远程卸除任意一台感染设备上的植入程序。研究员Kevin Beaumont称检测到DoublePulsar的过程包含了发送一系列的SMB——服务器信息块协议的缩写——到连接互联网的计算机设备上。通过改变传输数据中的两个字节,该用户可以从任何检测出感染的设备上卸除程序。当然,这个脚本并不是清理受损设备的唯一方法。由于DoublePulsar具备较高的隐匿性,不会在感染设备的硬盘上写入任何文件。
正如前篇报道中所提及的,由于DoublePulsar是黑客从NSA处获取的一种核武级别的植入程序。而微软出于某种未能解释的原因,正好在DoublePulsar漏洞工具发布一月前给出了相应的修补程序 。但 这个后门程序能够隐匿自身,并持续地保持机器与攻击者之间的通信交流,通过CNC服务器远程执行攻击者的命令。
使用第三方工具的问题
而在周二发布的一则 声明 中,微软发言人称:
安装最新系统程序的用户将不会受到此恶意软件的威胁,因为这个后门程序只能运行在受感染的设备上。所以我们鼓励客户上网时践行良好的使用习惯,包括谨慎点击各种网页链接,不随意打开未知文件或接受文件传输。
但对于没有安装三月份的最新微软补丁的用户而言,在新一轮的Shadow Brokers事件中实际上很容易受到0day exploit攻击。所以使用最新的Countercept脚本大规模地卸除感染设备中的后门软件,几乎将是无可避免的。但如果使用者对设备没有所有权的话,这样的行动肯定在大多数的司法管辖区受到刑事或民事诉讼。
即便如此,从DoublePulsar中“脱险”的设备可能还会感染到其他的恶意程序,大家真的需要格外谨慎地对待此次事件。在Microsoft保持缄默的当下,这个工具还是毫无疑问地会成为那些管理大批老式电脑的管理员们的有力工具!
工具下载地址 : https://github.com/countercept/doublepulsar-detection-script
|