本文講的是NSA泄露的惡意軟件DoublePulsar感染了數(shù)萬(wàn)臺(tái)Windows電腦，

安全研究人員認(rèn)為，世界各地的腳本小子和在線犯罪分子正在利用Shadow Brokers 黑客組織上周泄露的NSA黑客工具，致使全球數(shù)十萬(wàn)臺(tái)Windows計(jì)算機(jī)正面臨網(wǎng)絡(luò)攻擊威脅。

上周，被稱為“Shadow Brokers”的神秘黑客組織泄露了一套據(jù)稱是屬于NSA“方程組”的黑客工具，這些工具主要針對(duì)Windows XP、Windows Server 2003、Windows 7、8以及Windows 2012等系統(tǒng)。

更糟的是，雖然Microsoft通過(guò)發(fā)布針對(duì)所有漏洞的更新程序，迅速緩解了安全隱患，但那些不受支持的系統(tǒng)以及尚未安裝補(bǔ)丁的系統(tǒng)仍然存在著巨大的風(fēng)險(xiǎn)。

在一次互聯(lián)網(wǎng)掃描結(jié)果中顯示，全球有超過(guò)107,000臺(tái)計(jì)算機(jī)上檢測(cè)到感染了DoublePulsar惡意軟件。據(jù)悉，此次掃描活動(dòng)由總部位于瑞士的安全公司Binary Edge的研究人員進(jìn)行。而Errata Security首席執(zhí)行官Rob Graham進(jìn)行的單獨(dú)掃描，檢測(cè)到大約41,000臺(tái)感染設(shè)備，另外一名來(lái)自Below0day的研究人員檢測(cè)到超過(guò)30,000臺(tái)感染機(jī)器，其中大部分位于美國(guó)，其次為英國(guó)、中國(guó)臺(tái)灣、韓國(guó)、德國(guó)以及日本等。

在過(guò)去24小時(shí)內(nèi)，感染設(shè)備的掃描結(jié)果從3萬(wàn)至6萬(wàn)臺(tái)的結(jié)果不一，一種新的理論出現(xiàn)：盲目模仿者黑客可能下載了Shadow Brokers發(fā)布的DoublePulsar二進(jìn)制文件，然后使用它來(lái)感染未打補(bǔ)丁的Windows計(jì)算機(jī)。

?【一個(gè)掃描互聯(lián)網(wǎng)尋找受DoublePulsar感染的設(shè)備的腳本，左側(cè)為檢測(cè)到已經(jīng)安裝了后門的IP列表；右側(cè)是用于手動(dòng)檢查機(jī)器是否受感染的ping】

影響

DoublePulsar（雙星脈沖）是整個(gè)工具包中的一個(gè)重要滲透攻擊插件，用于在已受感染的系統(tǒng)上注入和運(yùn)行惡意代碼，并使用針對(duì)Microsoft Windows XP – Server 2008 R2系統(tǒng)上的SMB文件共享服務(wù)的EternalBlue漏洞利用進(jìn)行安裝。

SMB服務(wù)是Windows系統(tǒng)上運(yùn)行的最常用協(xié)議之一，利用這類漏洞非常容易且成功率高，遠(yuǎn)程攻擊者無(wú)需經(jīng)過(guò)任何身份認(rèn)證，只需向開(kāi)放了SMB服務(wù)的機(jī)器發(fā)送特制報(bào)文即可在目標(biāo)系統(tǒng)上執(zhí)行任意命令。

漏洞攻擊成功后，它負(fù)責(zé)把木馬控制端以dll的形式注入到被攻擊的系統(tǒng)里，為了保持隱身，該后門程序不會(huì)將任何文件寫入其感染的設(shè)備中，防止在受感染的設(shè)備重新啟動(dòng)后持續(xù)存在。

雖然微軟已經(jīng)修補(bǔ)了受影響的Windows操作系統(tǒng)中的大部分被利用的漏洞，但是那些沒(méi)有打補(bǔ)丁的漏洞依然很容易受到EternalBlue、EternalSampion、EternalSynergy、EternalRomance、EmeraldThread以及EducatedScholar等漏洞的攻擊。

再次附上Windows安全更新地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010

此外，仍然在使用例如Windows XP、Windows Server 2003以及IIS 6.0這類停止提供安全更新服務(wù)的系統(tǒng)的用戶也很容易遭受此類攻擊影響，建議盡快將系統(tǒng)升級(jí)到服務(wù)期內(nèi)的版本并及時(shí)安裝可用的補(bǔ)丁。

微軟發(fā)言人在隨后的一份聲明中稱，懷疑報(bào)道的準(zhǔn)確性，并強(qiáng)烈建議現(xiàn)在尚未應(yīng)用MS17-010的Windows用戶盡快下載并部署補(bǔ)丁。

目前網(wǎng)絡(luò)犯罪組織、企業(yè)間諜甚至國(guó)家支持的黑客組織都有可能利用這一工具進(jìn)行非法入侵，使用 Windows 系統(tǒng)的企業(yè)或個(gè)人最好不要存有僥幸心理。

免費(fèi)doublepulsar檢測(cè)工具：https://github.com/countercept/doublepulsar-detection-script?

原文發(fā)布時(shí)間為：2017年4月25日 本文作者：小二郎 本文來(lái)自云棲社區(qū)合作伙伴嘶吼，了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接

總結(jié)

以上是生活随笔為你收集整理的NSA泄露的恶意软件DoublePulsar感染了数万台Windows电脑的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。