Doublepulsar là gì?

Kiểm tra, khắc phục và phòng chống mã độc DoublePulsar

DOUBLEPULSAR là một trong số các công cụ hacking của NSA bị Shadow Brokers phát tán vào trung tuần tháng 3 năm 2017, đã được hacker sử dụng trong tự nhiên, và lây nhiễm mã độc lên 30.625 máy tính trên toàn thế giới sau 1 tuần phát tán.

[external_link_head]

Bạn đang xem: Doublepulsar là gì

Mã độc mở ra một backdoor trên máy tính bị nhiễm và kết nối đến một địa điểm từ xa. Nó kết nối với kẻ tấn công sử dụng một hoặc các giao thức sau:

– RDP – SMB

Mã độc DOUBLEPULSAR có thể thực hiện các hành động sau:

– Kiểm tra sự hiện diện của bản thân nó – Inject một DLL vào tiến trình người dùng và gọi đến hàm được chỉ định – Thực thi shellcode từ kẻ tấn công – Thả shellcode vào một tập tin trên đĩa – Tự gỡ cài đặt chính nó

Hiện có rất nhiều quốc gia đang bị nhiễm mã độc DOUBLEPULSAR, trong đó có Việt Nam hiện đang có số lượng các máy tính bị nhiễm mã độc này rất lớn. Bởi vậy yêu cầu các quản trị viên cũng như người dùng thực hiện kiểm tra các máy chủ để đảm bảo không bị nhiễm mã độc.

HƯỚNG DẪN KIỂM TRA

Bài viết này đưa ra các công cụ kiểm tra cũng như hướng dẫn thực hiện kiểm tra xem máy tính mục tiêu có bị ảnh hưởng bởi mã độc DOUBLEPULSAR hay không dựa trên các phản hồi kết nối SMB và RDP từ máy tính mục tiêu.

Xem thêm  Window Defender là gì? Có lợi ích gì trong quá trình sử dụng máy tính?

1. Công cụ NMAP

Bước 1: Tải công cụ tại trang https://nmap.org/

Doublepulsar là gì - WEB GIẢI ĐÁP

Bước 2: Cài đặt công cụ:

Doublepulsar là gì - WEB GIẢI ĐÁP

Bước 3: thực thi

Doublepulsar là gì - WEB GIẢI ĐÁP

Doublepulsar là gì - WEB GIẢI ĐÁP

1 Địa chỉ đường mạng đơn vị đang dùng; 2 câu lệnh scan

Kết quả trả về như sau cho thấy máy tính mục tiêu đã bị nhiễm mã độc DOUBLEPULSAR thông qua SMB.

Doublepulsar là gì - WEB GIẢI ĐÁP

[external_link offset=1]

2.Công cụ doublepulsar-detection-scriptlà tập các python2 script hỗ trợ quét một địa chỉ IP và cả một danh sách các IP nhằm phát hiện các địa chỉ IP bị nhiễm mã độc DOUBLEPULSAR.

Sau đây là các bước thực hiện kiểm tra:

Bước 1: Clone script từ github:

git clone https://github.com/countercept/doublepulsar-detection-script.git

Bước 2: Thực thi file detect_doublepulsar_smb.py để thực hiện quét địa chỉ IP hoặc một danh sách IP mong muốn với phản hồi kết nối SMB từ máy tính mục tiêu. Ví dụ, để quét một địa chỉ IP:

root

kali:~# python detect_doublepulsar_smb.py –ip 0877074074

Kết quả trả về như sau cho thấy máy tính mục tiêu đã bị nhiễm mã độc DOUBLEPULSAR thông qua SMB

<+> <0877074074> DOUBLEPULSAR SMB IMPLANT DETECTED!!!

Nếu kết quả trả về như sau cho thấy máy tinh mục tiêu không bị nhiễm DOUBLEPULSAR

<-> <0877074074> No presence of DOUBLEPULSAR SMB implant

Bước 3: Thực thi file detect_doublepulsar_ rdp.py để thực hiện quét địa chỉ IP hoặc dải IP mong muốn với phản hồi kết nối RDP từ máy tính mục tiêu. Ví dụ, để quét một danh sách địa chỉ IP:

root

kali:~# python detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1

Khi đó script sẽ thực hiện quét một danh sách địa chỉ IP và trả về kết quả cho mỗi địa chỉ IP mà nó thực hiện quét, kết quả trả về được mô phỏng như dưới đây:

Xem thêm  Trung Tâm Sửa Chữa Laptop và Cứu Dữ Liệu TPHCM

<*> <0877074074> Sending negotiation request

<*> <0877074074> Server explicitly refused SSL, reconnecting

<*> <0877074074> Sending non-ssl negotiation request

<*> <0877074074> Sending ping packet

<-> <0877074074> No presence of DOUBLEPULSAR RDP implant

<*> <0877074074> Sending negotiation request

<*> <0877074074> Server chose to use SSL – negotiating SSL connection

<*> <0877074074> Sending SSL client data

<*> <0877074074> Sending ping packet

<-> <0877074074> No presence of DOUBLEPULSAR RDP implant

<*> <0877074074> Sending negotiation request

<*> <0877074074> Sending client data

<*> <0877074074> Sending ping packet

<+> <0877074074> DOUBLEPULSAR RDP IMPLANT DETECTED!!!

Theo như ví dụ trên, có thể thấy trong dải IP mà script quét có địa chỉ IP 0877074074 được phát hiện là bị nhiễm mã độc, trong khi 0877074074 và 0877074074 không bị nhiễm mã độc.

Xem thêm: Avalanche Là Gì – Không Tìm Thấy Trang

3.Công cụ smb-double-pulsar-backdoorkiểm tra máy tính mục tiêu có đang chạy backdoor DoublePulsar SMB.

Thực thi câu lệnh sau:

nmap -p 445 –script=smb-double-pulsar-backdoor

Nếu máy tính mục tiêu đang chạy backdoor DoublePulsar SMB, kết quả trả về như dưới đây:

[external_link offset=2]

| smb-double-pulsar-backdoor:

|VULNERABLE:

|Double Pulsar SMB Backdoor

|State: VULNERABLE

|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)

|The Double Pulsar SMB backdoor was detected running on the remote machine.

|References:

https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/

|https://github.com/countercept/doublepulsar-detection-script

| https://steemit.com/shadowbrokers/

theshadowbrokers/lost-in-translation

HƯỚNG DẪN KHẮC PHỤC và PHÒNG CHỐNG

1. Khắc phục

Bước 1: Tải bản vá lỗi của Win

Bước 2: Cập nhật bản vá lỗi

Bước 3: Kiểm tra lại bằng các công cụ nêu trên

2. Phòng chống

– Ngay lập tức vá các lỗ hổng bảo mật máy chủ và máy cá nhân sử dụng hệ điều hành Windows, chủ yếu lỗ hổng EternalBlue (MS17-010).

Xem thêm  Cách tính số ngày ở khách sạn trong Excel: Rất nhanh và đơn giản

– Thường xuyên sao lưu dữ liệu và có các phương án backup dữ liệu của đơn vị

– Đề phòng các link lạ. Đối với các đơn vị, tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ e-mail không an toàn.

– Người dùng cá nhân luôn cài phần mềm phòng chống virus trên thiết bị di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành trị mã độc mã hóa dữ liệu. Các phần mềm phòng chống virus này phải được thường xuyên cập nhật mới nhất.

Xem thêm: Deprecated Là Gì – Java — @deprecated Vs @deprecated

Chốt hạ lại là bạn nên tập thói quen thường xuyên sao lưu các dữ liệu quan trọng và nhạy cảm sống còn của mình ở đâu đó bên ngoài máy tính của mình. Ngoài ổ cứng lưu trữ bây giờ cũng rẻ rồi nên bạn có thể bỏ vài cữ cà phê mua về lưu trữ dữ liệu, còn có 500 anh em dịch vụ sao lưu trên mây Cloud rất tiện dụng luôn sẵn sàng hiến thân phục vụ bạn.

Đường dẫn tải các bản vá lỗi Windows Vista đến Windows 8.1 và Hệ điều hành máy chủ Windows 2008 trở về trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

Đường dẫn tải các bản vá cho Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc tải đường dẫn tại http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

Chuyên mục:

[external_footer]
Rate this post

Bài viết liên quan

Để lại ý kiến của bạn:

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *