安全研究人员认为,世界各地的脚本小子和在线犯罪分子正在利用Shadow Brokers 黑客组织上周泄露的NSA黑客工具,致使全球数十万台Windows计算机正面临网络攻击威胁。
上周,被称为“Shadow Brokers”的神秘黑客组织泄露了一套据称是属于NSA“方程组”的黑客工具,这些工具主要针对Windows XP、Windows Server 2003、Windows 7、8以及Windows 2012等系统。
更糟的是,虽然Microsoft通过发布针对所有漏洞的更新程序,迅速缓解了安全隐患,但那些不受支持的系统以及尚未安装补丁的系统仍然存在着巨大的风险。
在一次互联网扫描结果中显示,全球有超过107,000台计算机上检测到感染了DoublePulsar恶意软件。据悉,此次扫描活动由总部位于瑞士的安全公司Binary Edge的研究人员进行。而Errata Security首席执行官Rob Graham进行的单独扫描,检测到大约41,000台感染设备,另外一名来自Below0day的研究人员检测到超过30,000台感染机器,其中大部分位于美国,其次为英国、中国台湾、韩国、德国以及日本等。
在过去24小时内,感染设备的扫描结果从3万至6万台的结果不一,一种新的理论出现:盲目模仿者黑客可能下载了Shadow Brokers发布的DoublePulsar二进制文件,然后使用它来感染未打补丁的Windows计算机。
【一个扫描互联网寻找受DoublePulsar感染的设备的脚本,左侧为检测到已经安装了后门的IP列表;右侧是用于手动检查机器是否受感染的ping】
影响
DoublePulsar(双星脉冲)是整个工具包中的一个重要渗透攻击插件,用于在已受感染的系统上注入和运行恶意代码,并使用针对Microsoft Windows XP – Server 2008 R2系统上的SMB文件共享服务的EternalBlue漏洞利用进行安装。
SMB服务是Windows系统上运行的最常用协议之一,利用这类漏洞非常容易且成功率高,远程攻击者无需经过任何身份认证,只需向开放了SMB服务的机器发送特制报文即可在目标系统上执行任意命令。
漏洞攻击成功后,它负责把木马控制端以dll的形式注入到被攻击的系统里,为了保持隐身,该后门程序不会将任何文件写入其感染的设备中,防止在受感染的设备重新启动后持续存在。
虽然微软已经修补了受影响的Windows操作系统中的大部分被利用的漏洞,但是那些没有打补丁的漏洞依然很容易受到EternalBlue、EternalSampion、EternalSynergy、EternalRomance、EmeraldThread以及EducatedScholar等漏洞的攻击。
再次附上Windows安全更新地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010
此外,仍然在使用例如Windows XP、Windows Server 2003以及IIS 6.0这类停止提供安全更新服务的系统的用户也很容易遭受此类攻击影响,建议尽快将系统升级到服务期内的版本并及时安装可用的补丁。
微软发言人在随后的一份声明中称,怀疑报道的准确性,并强烈建议现在尚未应用MS17-010的Windows用户尽快下载并部署补丁。
目前网络犯罪组织、企业间谍甚至国家支持的黑客组织都有可能利用这一工具进行非法入侵,使用 Windows 系统的企业或个人最好不要存有侥幸心理。
免费doublepulsar检测工具:https://github.com/countercept/doublepulsar-detection-script
