linuxsir首页 LinuxSir.Org | Linux、BSD、Solaris、Unix | 开源传万世,因有我参与欢迎您!
网站首页 | 设为首页 | 加入收藏
您所在的位置:主页 > Linux软件 >

可远程卸除DoublePulsar后门的安全工具已发布在GitHub

时间:2017-05-05  来源:未知  作者:linuxsir首页

Shadow Brokers组织泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统漏洞进行恶意代码注入。微软官方目前仍拒绝承认此次过万Windows计算机被NSA后门程序感染,而这起事件的研究空缺正由私人研究员接手处理。最新的进展是在本周二,一种可远程卸除DoublePulsar后门的安全工具已被开放在GitHub上,用户可以自行下载,进行检测并进行相关操作。

可远程卸除DoublePulsar后门的安全工具已发布在GitHub

影响持续扩大

在上周五的傍晚,微软官方发布了申明,称他们对多起互联网范围内的扫描检测所呈现的从30,000至100,000数量的计算机设备受到后门程序影响的报告结果表示质疑。当然,这个声明并没有提供任何基于事实基础的质疑,官方也未能对到周二为止的数据更新作出回应。截止到周末,Below0day发布最新的扫描结果显示56,586台Windows设备受到影响,在三天前的结果30,626台的基础上增长了85%。

在上周其他的独立检测的报告中,以上结果的数据结果稍微偏低。而在周一的时候,Rendition Infosec发布了一篇博客称DoublePulsar感染案例正在上升,其研究人员确定扫描结果是真实反应实际情况的。

Rendition创始人Jake Williams说:

这个数字只是冰山一角,我确定感染数量会超过120,000。

使用检测工具卸除后门程序

在周二的时候,Countercept安全公司对于上周发布的DoublePulsar检测脚本进行了更新。用户可以从网上远程卸除任意一台感染设备上的植入程序。研究员Kevin Beaumont称检测到DoublePulsar的过程包含了发送一系列的SMB——服务器信息块协议的缩写——到连接互联网的计算机设备上。通过改变传输数据中的两个字节,该用户可以从任何检测出感染的设备上卸除程序。当然,这个脚本并不是清理受损设备的唯一方法。由于DoublePulsar具备较高的隐匿性,不会在感染设备的硬盘上写入任何文件。

正如前篇报道中所提及的,由于DoublePulsar是黑客从NSA处获取的一种核武级别的植入程序。而微软出于某种未能解释的原因,正好在DoublePulsar漏洞工具发布一月前给出了相应的修补程序。但这个后门程序能够隐匿自身,并持续地保持机器与攻击者之间的通信交流,通过CNC服务器远程执行攻击者的命令。

使用第三方工具的问题

而在周二发布的一则声明中,微软发言人称:

安装最新系统程序的用户将不会受到此恶意软件的威胁,因为这个后门程序只能运行在受感染的设备上。所以我们鼓励客户上网时践行良好的使用习惯,包括谨慎点击各种网页链接,不随意打开未知文件或接受文件传输。

但对于没有安装三月份的最新微软补丁的用户而言,在新一轮的Shadow Brokers事件中实际上很容易受到0day exploit攻击。所以使用最新的Countercept脚本大规模地卸除感染设备中的后门软件,几乎将是无可避免的。但如果使用者对设备没有所有权的话,这样的行动肯定在大多数的司法管辖区受到刑事或民事诉讼。

即便如此,从DoublePulsar中“脱险”的设备可能还会感染到其他的恶意程序,大家真的需要格外谨慎地对待此次事件。在Microsoft保持缄默的当下,这个工具还是毫无疑问地会成为那些管理大批老式电脑的管理员们的有力工具!

工具下载地址:https://github.com/countercept/doublepulsar-detection-script 

*参考来源:arstechnica,本文作者:Elaine,转载请注明来自FreeBuf.COM

友情链接
  • Rancher推出了第一款Kubernetes操作系统k3OS
  • Kotlin v1.3.31发布,基于JVM的编程语言
  • Wine 4.7 更新,Mono引擎及更多
  • RenderDoc 1.3 发布,受欢迎的图形调试器
  • GitLab 11.10 发布,增强的操作仪表板
  • Wine
  • GNOME 3.33.1发布,GNOME 3.34 桌面环境开发第一个快照
  • 韦诺之战 Battle For Wesnoth 1.14.7/1.14.8 发布,Ubuntu下安装
  • Fedora 32可能删除Python 2及其软件包
  • OpenAI推出MuseNet:一种用于生成音乐作品的深层神经网络
  • KernelShark 1.0 即将发布,用于可视化“Trace
  • 清华大学与中科大相继停止 Anaconda 镜像服务
  • 用于Apache Spark 预览版的.NET现已推出
  • Fedora考虑使用基于VESA的FBDEV驱动程序,取代旧的VESA和OpenChr
  • Rails 6.0.0 RC1发布,多数据库支持
  • GCC 9.1
  • Electron 5.0 发布,附带了新版本的Chromium,V8和Node.js
  • Linux 5.2内核引入通用计数器接口
  • 由于一些遗留的bug阻塞,Fedora 30 是否延迟发布还未知
  • Fedora 30 将于下周二发布
  • GCC 9.1
  • 流媒体应用程序Mobdro窃取用户Wi
  • Google Chrome 74 正式发布,但对Linux用户来说并不令人兴奋
  • Apple发布iOS 12.3,macOS 10.14.5,tvOS 12.3和watchOS 5.2.1的
  • MESA 19.1公开EXT
  • Intel Iris Gallium3D为Mesa 19.1提供更多的游戏性能优化
  • 为什么这么多用户已经将Google Chrome替换为新的Microsoft Edge
  • MongoDB将以3900万美元收购移动数据库管理系统Realm
  • NVIDIA 430.09 Linux驱动发布,带来GTX 1650支持
  • 微软发布适用于Windows 10的4K壁纸包
  • Rust分享2019年的路线图
  • GNU Shepherd 0.6 发布,增加一次性服务
  • 随着三星最新的DeX更新,更多的手机可以使用Linux
  • Fedora将支持MPEG
  • QEMU 4.0 发布,更快的加密与CPU支持的改进
  • Google正在Android Q Beta 2中测试新的滑动手势
  • OS108
  • Svelte 3 稳定版发布,Cyber??netically增强型网络应用程序
  • Ant Design 3.16.5 发布,企业级UI设计语言
  • NVIDIA为Nsight Systems增加Vulkan支持
  • Node.js 12 Current版发布,使用V8 JavaScript引擎
  • Apple发布iOS 12.3,macOS 10.14.5,tvOS 12.3和watchOS 5.2.1的
  • Linux 5.1遇到了针对Intel和VirtIO DRM驱动程序的“特殊回归”
  • Kodi 19 M的代号揭晓
  • Scientific Linux 6/7 将继续得到支持,但分发工作正在结束
  • 福彩3d乐彩论坛
  • 澳门百家乐
  • 天吉彩票论坛
  • 香港自由论坛
  • 澳门银河