Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

DoublePulsar 后门检测

wpadmin~April 30, 2019 /InfoSec

DoublePulsar 后门检测

正文

在应急响应过程中, DoublePulsar 后门经常与 Wannacry 勒索软件一同出现。

https://en.wikipedia.org/wiki/DoublePulsar

DoublePulsar 是由美国国家安全局(NSA)方程式组开发的后门植入工具,于 2017 年初由 影子经纪人 (The Shadow Brokers) 泄露。该工具仅在几周内感染了超过 200,000 台 Microsoft Windows 计算机,并在 2017 年 5 月的 WannaCry 勒索软件攻击中与 EternalBlue 一起使用。

安全公司 RiskSense Inc. 的高级分析师 Sean Dillon 首先剖析并检查了 DoublePulsar。他说,NSA 的攻击载荷比 Heartbleed 安全漏洞更 “严重” 10 倍,并且 方程式组织 使用 DoublePulsar 作为主要攻击手段。DoublePulsar 以内核模式运行, 属于 Rootkit ,这使网络犯罪分子能够对计算机系统进行高级别的控制。安装后,它使用三个命令:ping,kill和 exec, exec 可用于将恶意软件加载到系统上。

后门原理

NSA 的第七种武器|双脉冲星 (DoublePulsar) 后门详细分析
https://www.freebuf.com/news/138725.html

WannaCry 分析
https://www.leiphone.com/news/201705/0017G1NYHw67C5Pb.html

检测脚本

https://github.com/countercept/doublepulsar-detection-script

https://github.com/countercept/doublepulsar-c2-traffic-decryptor

使用方式 需要安装 Python 2

# 受害主机已被隔离网络
python detect_doublepulsar_smb.py --ip 127.0.0.1
python detect_doublepulsar_rdp.py --ip 127.0.0.1

# 移除后门
python2 detect_doublepulsar_smb.py --ip 127.0.0.1 --uninstall

Leave a Reply

Your email address will not be published. Required fields are marked *