linuxsir首页 LinuxSir.Org | Linux、BSD、Solaris、Unix | 开源传万世,因有我参与欢迎您!
网站首页 | 设为首页 | 加入收藏
您所在的位置:主页 > Linux软件 >

可远程卸除DoublePulsar后门的安全工具已发布在GitHub

时间:2017-05-05  来源:未知  作者:linuxsir首页

Shadow Brokers组织泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统漏洞进行恶意代码注入。微软官方目前仍拒绝承认此次过万Windows计算机被NSA后门程序感染,而这起事件的研究空缺正由私人研究员接手处理。最新的进展是在本周二,一种可远程卸除DoublePulsar后门的安全工具已被开放在GitHub上,用户可以自行下载,进行检测并进行相关操作。

可远程卸除DoublePulsar后门的安全工具已发布在GitHub

影响持续扩大

在上周五的傍晚,微软官方发布了申明,称他们对多起互联网范围内的扫描检测所呈现的从30,000至100,000数量的计算机设备受到后门程序影响的报告结果表示质疑。当然,这个声明并没有提供任何基于事实基础的质疑,官方也未能对到周二为止的数据更新作出回应。截止到周末,Below0day发布最新的扫描结果显示56,586台Windows设备受到影响,在三天前的结果30,626台的基础上增长了85%。

在上周其他的独立检测的报告中,以上结果的数据结果稍微偏低。而在周一的时候,Rendition Infosec发布了一篇博客称DoublePulsar感染案例正在上升,其研究人员确定扫描结果是真实反应实际情况的。

Rendition创始人Jake Williams说:

这个数字只是冰山一角,我确定感染数量会超过120,000。

使用检测工具卸除后门程序

在周二的时候,Countercept安全公司对于上周发布的DoublePulsar检测脚本进行了更新。用户可以从网上远程卸除任意一台感染设备上的植入程序。研究员Kevin Beaumont称检测到DoublePulsar的过程包含了发送一系列的SMB——服务器信息块协议的缩写——到连接互联网的计算机设备上。通过改变传输数据中的两个字节,该用户可以从任何检测出感染的设备上卸除程序。当然,这个脚本并不是清理受损设备的唯一方法。由于DoublePulsar具备较高的隐匿性,不会在感染设备的硬盘上写入任何文件。

正如前篇报道中所提及的,由于DoublePulsar是黑客从NSA处获取的一种核武级别的植入程序。而微软出于某种未能解释的原因,正好在DoublePulsar漏洞工具发布一月前给出了相应的修补程序。但这个后门程序能够隐匿自身,并持续地保持机器与攻击者之间的通信交流,通过CNC服务器远程执行攻击者的命令。

使用第三方工具的问题

而在周二发布的一则声明中,微软发言人称:

安装最新系统程序的用户将不会受到此恶意软件的威胁,因为这个后门程序只能运行在受感染的设备上。所以我们鼓励客户上网时践行良好的使用习惯,包括谨慎点击各种网页链接,不随意打开未知文件或接受文件传输。

但对于没有安装三月份的最新微软补丁的用户而言,在新一轮的Shadow Brokers事件中实际上很容易受到0day exploit攻击。所以使用最新的Countercept脚本大规模地卸除感染设备中的后门软件,几乎将是无可避免的。但如果使用者对设备没有所有权的话,这样的行动肯定在大多数的司法管辖区受到刑事或民事诉讼。

即便如此,从DoublePulsar中“脱险”的设备可能还会感染到其他的恶意程序,大家真的需要格外谨慎地对待此次事件。在Microsoft保持缄默的当下,这个工具还是毫无疑问地会成为那些管理大批老式电脑的管理员们的有力工具!

工具下载地址:https://github.com/countercept/doublepulsar-detection-script 

*参考来源:arstechnica,本文作者:Elaine,转载请注明来自FreeBuf.COM

友情链接
  • Mozilla发布Firefox 67.0.4,修复沙箱逃逸漏洞
  • 蚂蚁金服正式成为CNCF云原生计算基金会黄金会员
  • Firefox 68将采用Microsoft BITS安装更新
  • OpenSSH增加对存储在RAM中的私钥的保护
  • 谷歌想实现自己的curl,为什么?
  • Raspberry Pi 4发布:更快的CPU、更大的内存
  • Firefox的UA将移除CPU架构信息
  • Ubuntu放弃支持32位应用程序实属乌龙,Steam会否重回Ubuntu怀抱
  • Qt 5.13稳定版发布:引入glTF 2.0、改进Wayland以及支持Lottie动
  • 红帽企业Linux 7现已内置Redis 5最新版
  • Slack进入微软内部禁用服务清单,GitHub也在其列?
  • 安全的全新编程语言V发布首个可用版本
  • Windows Terminal已上架,快尝鲜
  • 阿里巴巴微服务开源生态报告No.1
  • 面世两年,Google地球将支持所有基于Chromium的浏览器
  • 推进企业容器化持续创新,Rancher ECIC千人盛典完美收官
  • CentOS 8.0最新构建状态公布,或于数周后发布
  • Debian移植RISC
  • 微软拆分操作系统的计划初现雏形
  • Oracle发布基于VS Code的开发者工具,轻松使用Oracle数据库
  • Ubuntu 19.10停止支持32位的x86架构
  • 微软为Windows Terminal推出全新logo
  • 联想ThinkPad P系列笔记本预装Ubuntu系统
  • 微软发布适用于Win7/8的Microsoft Edge预览版
  • 启智平台发布联邦学习开源数据协作项目OpenI纵横
  • 经过六个多月的延迟,微软终于推出Hyper
  • ZFS On Linux 0.8.1 发布,Python可移植性工作
  • DragonFly BSD 5.6.0 发布,HAMMER2状态良好
  • Linux Kernel 5.2
  • CentOS 8.0 看起来还需要几周的时间
  • 百度网盘Linux版正式发布
  • PCIe 6.0宣布:带宽翻倍 狂飙至256GB/s
  • PHP 7.4 Alpha 发布,FFI扩展,预加载Opcache以获得更好的性能
  • Canonical将在未来的Ubuntu版本中放弃对32位架构的支持
  • Scala 2.13 发布,改进的编译器性能
  • 微软的GitHub收购了Pull Panda,并且使所有订阅完全免费
  • Windows Subsystem for Linux 2 (WSL 2)现在适用于Windows 10用
  • Debian 10 “Buster”的RISC
  • MariaDB宣布发布MariaDB Enterprise Server 10.4
  • DXVK 1.2.2 发布,带来微小的CPU开销优化
  • DragonFlyBSD 5.6 RC1 发布,VM优化,默认为HAMMER2
  • PrimeNG 8.0.0 发布,支持Angular 8,FocusTrap等
  • GIMP 2.10.12 发布,一些有用的改进
  • 清华大学Anaconda 镜像服务即将恢复
  • Debian GNU/Linux 10 “Buster” 操作系统将于2019年7月6日发布
  • 时时彩论坛
  • 五星体育斯诺克
  • 北单比分直播
  • 河北11选5走势图
  • 福建体彩36选7开奖结果
  • 九龙图库下载