Bài viết Doublepulsar Là Gì – Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa thuộc chủ đề về Hỏi Đáp đang được rất nhiều bạn quan tâm đúng không nào !! Hôm nay, Hãy cùng TruongGiaThien.Com.Vn tìm hiểu Doublepulsar Là Gì – Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa trong bài viết hôm nay nha !
Các bạn đang xem nội dung : “Doublepulsar Là Gì – Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa”

Kiểm tra, khắc phục và phòng chống mã độc DoublePulsar

DOUBLEPULSAR là một trong số các công cụ hacking của NSA bị Shadow Brokers phát tán vào trung tuần tháng 3 năm 2017, đã được hacker dùng trong một cách tự nhiên, và lây nhiễm mã độc lên 30.625 máy tính trên toàn thế giới sau 1 tuần phát tán.

Bạn đang xem: Doublepulsar là gì

Mã độc mở ra một backdoor trên máy tính bị nhiễm và kết nối đến một địa điểm từ xa. Nó kết nối với kẻ tấn công dùng một hoặc các giao thức sau:

– RDP – SMB

Mã độc DOUBLEPULSAR khả năng thực hiện các hành động sau:

– Kiểm tra sự hiện diện của bản thân nó – Inject một DLL vào tiến trình người dùng và gọi đến hàm được chỉ định – Thực thi shellcode từ kẻ tấn công – Thả shellcode vào một tập tin trên đĩa – Tự gỡ cài đặt chính nó

Hiện có rất nhiều quốc gia đang bị nhiễm mã độc DOUBLEPULSAR, trong đó có Việt Nam hiện đang có số lượng các máy tính bị nhiễm mã độc này rất lớn. Bởi vậy bắt buộc các quản trị viên cũng như người dùng thực hiện kiểm tra các máy chủ để đảm bảo không bị nhiễm mã độc.

HƯỚNG DẪN KIỂM TRA

Bài viết này đưa ra các công cụ kiểm tra cũng như hướng dẫn thực hiện kiểm tra xem máy tính mục tiêu có bị tác động bởi mã độc DOUBLEPULSAR hay không dựa trên các phản hồi kết nối SMB và RDP từ máy tính mục tiêu.

Bài Nổi Bật  Tỉnh Lỵ Là Gì - Thị Xã Duy Nhất Ở Nước Ta Được Chọn Là Tỉnh Lỵ

1. Công cụ NMAP

Bước 1: Tải công cụ tại trang https://nmap.org/

*

Bước 2: Cài đặt công cụ:

*

Bước 3: thực thi

*
*

1 Địa chỉ đường mạng đơn vị đang dùng; 2 câu lệnh scan

Kết quả trả về như sau chỉ ra rằng rằng máy tính mục tiêu đã bị nhiễm mã độc DOUBLEPULSAR thông qua SMB.

*

2.Công cụ doublepulsar-detection-scriptlà tập các python2 script hỗ trợ quét một địa chỉ IP và cả một danh sách các IP nhằm phát hiện các địa chỉ IP bị nhiễm mã độc DOUBLEPULSAR.

Sau đây là các bước thực hiện kiểm tra:

Bước 1: Clone script từ github:

git clone https://github.com/countercept/doublepulsar-detection-script.git

Bước 2: Thực thi file detect_doublepulsar_smb.py để thực hiện quét địa chỉ IP hoặc một danh sách IP mong muốn với phản hồi kết nối SMB từ máy tính mục tiêu. Ví dụ, để quét một địa chỉ IP:

root
kali:~# python detect_doublepulsar_smb.py –ip 192.168.175.128

Kết quả trả về như sau chỉ ra rằng rằng máy tính mục tiêu đã bị nhiễm mã độc DOUBLEPULSAR thông qua SMB

DOUBLEPULSAR SMB IMPLANT DETECTED!!!

Nếu kết quả trả về như sau chỉ ra rằng rằng máy tinh mục tiêu không bị nhiễm DOUBLEPULSAR

No presence of DOUBLEPULSAR SMB implant

Bước 3: Thực thi file detect_doublepulsar_ rdp.py để thực hiện quét địa chỉ IP hoặc dải IP mong muốn với phản hồi kết nối RDP từ máy tính mục tiêu. Ví dụ, để quét một danh sách địa chỉ IP:

root
kali:~# python detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1

Khi đó script sẽ thực hiện quét một danh sách địa chỉ IP và trả về kết quả cho mỗi địa chỉ IP mà nó thực hiện quét, kết quả trả về được mô phỏng như dưới đây:

Sending negotiation request

Server explicitly refused SSL, reconnecting

Sending non-ssl negotiation request

Sending ping packet

No presence of DOUBLEPULSAR RDP implant

Sending negotiation request

Server chose to use SSL – negotiating SSL connection

Sending SSL client data

Sending ping packet

No presence of DOUBLEPULSAR RDP implant

Bài Nổi Bật  Tên một vài Môn Chuyên Ngành Tiếng Anh Là Gì ? Chuyên Ngành Tiếng Anh Là Gì

Sending negotiation request

Sending client data

Sending ping packet

DOUBLEPULSAR RDP IMPLANT DETECTED!!!

Theo như ví dụ trên, khả năng thấy trong dải IP mà script quét có địa chỉ IP 192.168.175.142 được phát hiện là bị nhiễm mã độc, trong khi 192.168.175.143 và 192.168.175.141 không bị nhiễm mã độc.

Xem thêm: Avalanche Là Gì – Không Tìm Thấy Trang

3.Công cụ smb-double-pulsar-backdoorkiểm tra máy tính mục tiêu có đang chạy backdoor DoublePulsar SMB.

Thực thi câu lệnh sau:

nmap -p 445 –script=smb-double-pulsar-backdoor

Nếu máy tính mục tiêu đang chạy backdoor DoublePulsar SMB, kết quả trả về như dưới đây:

| smb-double-pulsar-backdoor:

|VULNERABLE:

|Double Pulsar SMB Backdoor

|State: VULNERABLE

|Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)

|The Double Pulsar SMB backdoor was detected running on the remote machine.

|References:

https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/

|https://github.com/countercept/doublepulsar-detection-script

| https://steemit.com/shadowbrokers/
theshadowbrokers/lost-in-translation

HƯỚNG DẪN KHẮC PHỤC và PHÒNG CHỐNG

1. Khắc phục

Bước 1: Tải bản vá lỗi của Win

Bước 2: Cập nhật bản vá lỗi

Bước 3: Kiểm tra lại bằng các công cụ nêu trên

2. Phòng chống

– Ngay lập tức vá các lỗ hổng bảo mật máy chủ và máy cá nhân dùng hệ điều hành Windows, chủ yếu lỗ hổng EternalBlue (MS17-010).

– nhiều sao lưu dữ liệu và có các phương án backup dữ liệu của đơn vị

– Đề phòng các link lạ. Đối với các đơn vị, tốt nhất nên có một máy riêng để nhân viên remote khi họ nghi ngờ e-mail không an toàn.

– Người dùng cá nhân luôn cài phần mềm phòng chống virus trên thiết bị di động và máy tính, đặc biệt là các phần mềm chuyên biệt dành trị mã độc mã hóa dữ liệu. Các phần mềm phòng chống virus này phải được nhiều cập nhật mới nhất.

Xem thêm: Deprecated Là Gì – Java — @deprecated Vs @deprecated

Chốt hạ lại là bạn nên tập tập tính nhiều sao lưu các dữ liệu quan trọng và nhạy cảm sống còn của mình ở đâu đó bên ngoài máy tính của mình. Ngoài ổ cứng lưu trữ bây giờ cũng rẻ rồi nên bạn khả năng bỏ vài cữ cà phê mua về lưu trữ dữ liệu, còn có 500 anh em dịch vụ sao lưu trên mây Cloud rất tiện dụng luôn sẵn sàng hiến thân đáp ứng bạn.

Bài Nổi Bật  Blockchain.Info Là Gì - Hướng Dẫn dùng Và Tạo Ví Blockchain

Đường dẫn tải các bản vá lỗi Windows Vista đến Windows 8.1 và Hệ điều hành máy chủ Windows 2008 trở về trước: https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

Đường dẫn tải các bản vá cho Windows XP: https://www.microsoft.com/en-us/download/details.aspx?id=55245&WT.mc_id=rss_windows_allproductshoặc tải đường dẫn tại http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

Chuyên mục: Hỏi Đáp

Các câu hỏi về Doublepulsar Là Gì – Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa


Nếu có bắt kỳ câu hỏi thắc mắt nào vê Doublepulsar Là Gì – Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa hãy cho chúng mình biết nha, mõi thắt mắt hay góp ý của các bạn sẽ giúp mình nâng cao hơn hơn trong các bài sau nha <3 Bài viết Doublepulsar Là Gì - Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa ! được mình và team xem xét cũng như tổng hợp từ nhiều nguồn. Nếu thấy bài viết Doublepulsar Là Gì - Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa Cực hay ! Hay thì hãy ủng hộ team Like hoặc share. Nếu thấy bài viết Doublepulsar Là Gì - Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa rât hay ! chưa hay, hoặc cần bổ sung. Bạn góp ý giúp mình nha!!

Các Hình Ảnh Về Doublepulsar Là Gì – Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa

Doublepulsar Là Gì - Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa

Các từ khóa tìm kiếm cho bài viết #Doublepulsar #Là #Gì #Hướng #Dẫn #Kiểm #Tra #Mã #Độc #Doublepulsar #Của #Nsa

Tra cứu thêm tin tức về Doublepulsar Là Gì – Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa tại WikiPedia

Bạn khả năng tham khảo nội dung chi tiết về Doublepulsar Là Gì – Hướng Dẫn Kiểm Tra Mã Độc Doublepulsar Của Nsa từ web Wikipedia tiếng Việt.◄

Tham Gia Cộng Đồng Tại

💝 Nguồn Tin tại: https://truonggiathien.com.vn/

💝 Xem Thêm Chủ Đề Liên Quan tại : https://truonggiathien.com.vn/hoi-dap/

Give a Comment