Mã độc mở ra một backdoor trên máy tính bị nhiễm và kết nối đến một vị trí từ xa. Nó kết nối với kẻ tiến công tận dụng một hoặc những giao thức sau:
– RDP – SMB
Mã độc DOUBLEPULSAR rất có thể tiến hành những hành vi sau:
– Kiểm tra sự hiện hữu của phiên bản thân nó – Inject một DLL vào tiến trình người tiêu dùng và gọi đến hàm được chỉ định – Thực thi shellcode từ kẻ tiến công – Thả shellcode vào trong 1 tập tin trên đĩa – Tự gỡ thiết lập chính nó
Hiện có rất nhiều vương quốc hiện nay đang bị nhiễm mã độc DOUBLEPULSAR, trong đó có Việt Nam hiện đang sẵn có số lượng những máy tính bị nhiễm mã độc này rất rộng. Chính vì thế yêu cầu những quản trị viên cũng như người tiêu dùng tiến hành kiểm tra những sever để khỏe mạnh không trở nên nhiễm mã độc.
HƯỚNG DẪN KIỂM TRA
Nội dung bài viết này tìm thấy những phương tiện kiểm tra cũng như hướng dẫn tiến hành kiểm tra xem máy tính tiềm năng có bị tác động bởi mã độc DOUBLEPULSAR hay là không dựa trên những phản kết quả cuối cùng nối SMB và RDP từ máy tính tiềm năng.
1. Dụng cụ NMAP
Bước 1: Tải phương tiện tại trang https://nmap.org/
Bước 2: Thiết lập phương tiện:
Bước 3: thực thi
1 Địa chỉ đường mạng đơn vị đang dùng; 2 câu lệnh scan
Thành quả trả về như sau cho thấy máy tính tiềm năng đã biết thành nhiễm mã độc DOUBLEPULSAR trải qua SMB.
2. Dụng cụ doublepulsar-detection-script là tập những python2 script tương trợ quét một địa chỉ IP và cả một list những IP nhằm mục tiêu phát hiện những địa chỉ IP bị nhiễm mã độc DOUBLEPULSAR.
Sau đó là quá trình tiến hành kiểm tra:
Bước 1: Clone script từ github:
git clone https://github.com/countercept/doublepulsar-detection-script.git
Bước 2: Thực thi file detect_doublepulsar_smb.py để tiến hành quét địa chỉ IP hoặc một list IP mong muốn với phản kết quả cuối cùng nối SMB từ máy tính tiềm năng. Ví dụ, để quét một địa chỉ IP:
root@kali:~# python detect_doublepulsar_smb.py -ip 192.168.175.128
Thành quả trả về như sau cho thấy máy tính tiềm năng đã biết thành nhiễm mã độc DOUBLEPULSAR trải qua SMB
[+] [192.168.175.128] DOUBLEPULSAR SMB IMPLANT DETECTED!!!
Nếu thành phẩm trả về như sau cho thấy máy tinh tiềm năng không trở nên nhiễm DOUBLEPULSAR
[-] [192.168.175.128] No presence of DOUBLEPULSAR SMB implant
Bước 3: Thực thi file detect_doublepulsar_ rdp.py để tiến hành quét địa chỉ IP hoặc dải IP mong muốn với phản kết quả cuối cùng nối RDP từ máy tính tiềm năng. Ví dụ, để quét một list địa chỉ IP:
root@kali:~# python detect_doublepulsar_rdp.py -file ips.list -verbose -threads 1
Lúc này script sẽ tiến hành quét một list địa chỉ IP và trả về thành phẩm cho từng địa chỉ IP mà nó tiến hành quét, thành phẩm trả về được mô phỏng như tiếp sau đây:
[*] [192.168.175.141] Sending negotiation request
[*] [192.168.175.141] Server explicitly refused SSL, reconnecting
[*] [192.168.175.141] Sending non-ssl negotiation request
[*] [192.168.175.141] Sending ping packet
[-] [192.168.175.141] No presence of DOUBLEPULSAR RDP implant
[*] [192.168.175.143] Sending negotiation request
[*] [192.168.175.143] Server chose to use SSL – negotiating SSL connection
[*] [192.168.175.143] Sending SSL client data
[*] [192.168.175.143] Sending ping packet
[-] [192.168.175.143] No presence of DOUBLEPULSAR RDP implant
[*] [192.168.175.142] Sending negotiation request
[*] [192.168.175.142] Sending client data
[*] [192.168.175.142] Sending ping packet
[+] [192.168.175.142] DOUBLEPULSAR RDP IMPLANT DETECTED!!!
Theo như ví dụ trên, rất có thể thấy trong dải IP mà script quét có địa chỉ IP 192.168.175.142 được phát hiện là bị nhiễm mã độc, trong lúc 192.168.175.143 và 192.168.175.141 không trở nên nhiễm mã độc.
3. Dụng cụ smb-double-pulsar-backdoor kiểm tra máy tính tiềm năng có đang hoạt động backdoor DoublePulsar SMB.
Thực thi câu lệnh sau:
nmap -p 445 <targetandgt; -script=smb-double-pulsar-backdoor
Nếu máy tính tiềm năng đang hoạt động backdoor DoublePulsar SMB, thành phẩm trả về như tiếp sau đây:
| smb-double-pulsar-backdoor:
| VULNERABLE:
| Double Pulsar SMB Backdoor
| State: VULNERABLE
| Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)
| The Double Pulsar SMB backdoor was detected running on the remote machine.
| Disclosure date: 2017-04-14
| References:
https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/
| https://github.com/countercept/doublepulsar-detection-script
| https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
HƯỚNG DẪN KHẮC PHỤC và PHÒNG CHỐNG
1. Khắc phục
Bước 1: Tải phiên bản vá lỗi của Win
Bước 2: Update phiên bản vá lỗi
Bước 3: Kiểm tra lại bằng những phương tiện nêu trên
2. Phòng chống
– Ngay tức thì vá những lỗ hổng bảo mật thông tin sever và máy cá thể tận dụng hệ điều hành Windows, thiết yếu lỗ hổng EternalBlue (MS17-010).
– Thường xuyên sao lưu tài liệu và có những phương án backup tài liệu của đơn vị
– Phòng ngừa những link lạ. So với những đơn vị, tốt nhất nên có một máy riêng để viên chức remote khi họ nghi ngờ e-mail không an toàn và tin cậy.
– Người tiêu dùng cá thể luôn luôn cài ứng dụng phòng chống virus trên thiết bị di động và máy tính, nhất là những ứng dụng chuyên biệt dành trị mã độc mã hóa tài liệu. Những ứng dụng phòng chống virus này phải được thường xuyên update tiên tiến nhất.
Chốt hạ lại là fan nên tập thói quen thường xuyên sao lưu những tài liệu quan trọng và nhạy cảm sống còn của tôi ở đâu đó phía bên ngoài máy tính của tôi. Ngoài ổ cứng lưu trữ lúc này cũng rẻ rồi nên bạn cũng có thể bỏ vài cữ cafe mua về lưu trữ tài liệu, còn tồn tại 500 bằng hữu dịch vụ sao lưu trên mây Cloud rất tiện lợi luôn luôn sẵn sàng hiến thân phục vụ fan.
Đường dẫn tải những phiên bản vá lỗi Windows Vista đến Windows 8.1 và Hệ điều hành sever Windows 2008 trở về trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010
Đường dẫn tải những phiên bản vá cho Windows XP: https://www.microsoft.com/en-us/tải về/details.aspx?id=55245andamp;WT.mc_id=rss_windows_allproducts hoặc tải đường dẫn tại http://www.catalog.update.microsoft.com/Tìm kiếm.aspx?q=MS17-010