Kiểm tra, giải quyết và khắc phục và phòng chống mã độc DoublePulsar
DOUBLEPULSAR là một trong giữa những công cụ hacking của NSA bị Shadow Brokers phát tán vào trung tuần tháng 3 năm 2017, đã đc hacker cần sử dụng trong thoải mái và tự nhiên, và lây nhiễm mã độc lên 30.625 máy vi tính trên toàn thế gới sau một tuần phát tán.
Bài Viết: Doublepulsar là gì
Mã độc xuất hiện thêm một backdoor trên máy vi tính bị nhiễm và liên kết đến một xung quanh vị trí từ xa. Nó liên kết với kẻ tấn công cần sử dụng một hoặc các giao thức sau:
– RDP – SMB
Mã độc DOUBLEPULSAR rất có thể thi công các biện pháp hành động sau:
– Kiểm tra sự hiện hữu của bản thân mình nó – Inject một DLL vào quá trình người sử dụng và gọi đến hàm đc bổ nhiệm – Xúc tiến shellcode từ kẻ tấn công – Thả shellcode vào một trong những tập tin trên đĩa – Tự gỡ thiết lập chính nó
Hiện có tương đối nhiều giang sơn hiện giờ đang bị nhiễm mã độc DOUBLEPULSAR, trong các số đó có việt nam hiện tại đang có con số các máy vi tính bị nhiễm mã độc này rất lớn. Chính vì thế kiến nghị các chủ tịch viên y hệt như người sử dụng thi công check các sever để đảm bảo an toàn không biến thành nhiễm mã độc.
HƯỚNG DẪN KIỂM TRA
Nội dung bài viết này bỏ ra các công cụ check y hệt như chỉ dẫn thi công check xem máy vi tính phương châm có bị ảnh hưởng bởi mã độc DOUBLEPULSAR hay là không dựa vào các phản kết quả cuối cùng nối SMB và RDP từ máy vi tính phương châm.
1. Công cụ NMAP
Bước 1: Tải công cụ tại trang https://nmap.org/
Bước 2: Thiết lập công cụ:
Bước 3: xúc tiến
1 Vị trí đường mạng đơn vị chức năng đang cần sử dụng; 2 câu lệnh scan
Tác dụng trả về như sau đã cho chúng ta biết máy vi tính phương châm đã trở nên nhiễm mã độc DOUBLEPULSAR thông qua SMB.
2.Công cụ doublepulsar-detection-scriptlà tập các python2 script bổ trợ quét một địa điểm IP gồm cả một list các IP nhằm mục đích phát giác các địa điểm IP bị nhiễm mã độc DOUBLEPULSAR.
Sau đấy là các bước thi công check:
Bước 1: Clone script từ github:
Bước 2: Xúc tiến file detect_doublepulsar_smb.py để thi công quét địa điểm IP hoặc một list IP yêu cầu với phản kết quả cuối cùng nối SMB từ máy vi tính phương châm. Ví dụ, để quét một địa điểm IP:
root kali:~# python detect_doublepulsar_smb.py -ip 192.168.175.128
Tác dụng trả về như sau đã cho chúng ta biết máy vi tính phương châm đã trở nên nhiễm mã độc DOUBLEPULSAR thông qua SMB
DOUBLEPULSAR SMB IMPLANT DETECTED!!!
Nếu công dụng trả về như sau đã cho chúng ta biết máy tinh phương châm không biến thành nhiễm DOUBLEPULSAR
No presence of DOUBLEPULSAR SMB implant
Bước 3: Xúc tiến file detect_doublepulsar_ rdp.py để thi công quét địa điểm IP hoặc dải IP yêu cầu với phản kết quả cuối cùng nối RDP từ máy vi tính phương châm. Ví dụ, để quét một list địa điểm IP:
root kali:~# python detect_doublepulsar_rdp.py -file ips.danh sách -verbose -threads 1
Lúc ấy script sẽ thi công quét một list địa điểm IP và trả về công dụng cho từng địa điểm IP mà nó thi công quét, công dụng trả về đc mô phỏng như tiếp sau đây:
Sending negotiation request
Server explicitly refused SSL, reconnecting
Sending non-ssl negotiation request
Sending ping packet
No presence of DOUBLEPULSAR RDP implant
Sending negotiation request
Server chose lớn use SSL – negotiating SSL connection
Sending SSL client data
Sending ping packet
No presence of DOUBLEPULSAR RDP implant
Sending negotiation request
Sending client data
Sending ping packet
DOUBLEPULSAR RDP IMPLANT DETECTED!!!
Theo như ví dụ trên, rất có thể cảm nhận trong dải IP mà script quét có những nơi IP 192.168.175.142 đc phát giác là bị nhiễm mã độc, trong những khi 192.168.175.143 và 192.168.175.141 không biến thành nhiễm mã độc.
Xem Ngay: Avalanche Là Gì – Không Tìm Cảm nhận Trang
3.Công cụ smb-double-pulsar-backdoorkiểm tra máy vi tính phương châm có đang hoạt động backdoor DoublePulsar SMB.
Xúc tiến câu lệnh sau:
nmap -p 445 -script=smb-double-pulsar-backdoor
Nếu máy vi tính phương châm đang hoạt động backdoor DoublePulsar SMB, công dụng trả về như tiếp sau đây:
| smb-double-pulsar-backdoor:
|VULNERABLE:
|Double Pulsar SMB Backdoor
|State: VULNERABLE
|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)
|The Double Pulsar SMB backdoor was detected running on the remote machine.
|References:
|https://github.com/countercept/doublepulsar-detection-script
| https://steemit.com/shadowbrokers/ theshadowbrokers/lost-in-translation
HƯỚNG DẪN KHẮC PHỤC và PHÒNG CHỐNG
1. Giải quyết và khắc phục
Bước 1: Tải bản vá lỗi của Win
Bước 2: Cập nhật bản vá lỗi
Bước 3: Kiểm tra lại bằng các công cụ nêu trên
2. Phòng chống
– Ngay lập tức vá các lỗ hổng bảo mật thông tin sever và máy cá thể cần sử dụng hệ quản lý và điều hành Windows, đa số lỗ hổng EternalBlue (MS17-010).
– Tiếp tục sao lưu tài liệu và có các giải pháp backup tài liệu của đơn vị chức năng
– Đề phòng các links lạ. Đối với các cơ quan, tốt nhất có thể nên chứa một máy riêng để nhân viên cấp dưới remote khi họ nghi hoặc e-mail không đáng tin cậy và đáng tin cậy.
– Người sử dụng cá thể luôn cài phần mềm phòng chống virus trên dụng cụ di động và máy vi tính, đặc biệt là các phần mềm chuyên biệt dành trị mã độc mã hóa tài liệu. Các phần mềm phòng chống virus này cần phải đc liên tục cập nhật tiên tiến nhất.
Xem Ngay: Deprecated Là Gì – Java — @deprecated Vs @deprecated
Chốt hạ lại là bạn nên tập thói quen liên tục sao lưu các tài liệu quan trọng và nhạy cảm sống còn của tớ ở nơi đâu đó phía phía bên ngoài máy vi tính của tớ. Ngoài ổ cứng tàng trữ hiện tại cũng rẻ rồi nên bạn cũng luôn tồn tại thể bỏ vài cữ cafe mua về tàng trữ tài liệu, còn sinh tồn 500 bạn bè dịch vụ sao lưu trên mây Cloud rất tiện dụng luôn chuẩn bị hiến thân giao hàng bạn.
Đường dẫn tải các bản vá lỗi Windows Vista đến Windows 8.1 và Hệ quản lý và điều hành sever Windows 2008 quay trở lại trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010
Đường dẫn tải các bản vá cho Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc tải đường dẫn tại http://www.catalog.cập nhật.microsoft.com/Tìm kiếm.aspx?q=MS17-010
Thể Loại: Giải bày Kiến Thức Cộng Đồng