Shadow Brokers組織泄露了NSA方程式組織的一些工具，其中名為DoublePulsar的后門(mén)程序可利用部分Windows系統(tǒng)漏洞進(jìn)行惡意代碼注入。微軟官方目前仍拒絕承認(rèn)此次 過(guò)萬(wàn)Windows計(jì)算機(jī)被NSA后門(mén)程序感染 ，而這起事件的研究空缺正由私人研究員接手處理。最新的進(jìn)展是在本周二，一種可遠(yuǎn)程卸除DoublePulsar后門(mén)的安全工具已被開(kāi)放在GitHub上，用戶(hù)可以自行下載，進(jìn)行檢測(cè)并進(jìn)行相關(guān)操作。

影響持續(xù)擴(kuò)大

在上周五的傍晚，微軟官方發(fā)布了申明，稱(chēng)他們對(duì)多起互聯(lián)網(wǎng)范圍內(nèi)的掃描檢測(cè)所呈現(xiàn)的從30,000至100,000數(shù)量的計(jì)算機(jī)設(shè)備受到后門(mén)程序影響的報(bào)告結(jié)果表示質(zhì)疑。當(dāng)然，這個(gè)聲明并沒(méi)有提供任何基于事實(shí)基礎(chǔ)的質(zhì)疑，官方也未能對(duì)到周二為止的數(shù)據(jù)更新作出回應(yīng)。截止到周末，Below0day發(fā)布最新的掃描結(jié)果顯示56,586臺(tái)Windows設(shè)備受到影響，在三天前的結(jié)果30,626臺(tái)的基礎(chǔ)上增長(zhǎng)了85%。

在上周其他的獨(dú)立檢測(cè)的報(bào)告中，以上結(jié)果的數(shù)據(jù)結(jié)果稍微偏低。而在周一的時(shí)候，Rendition Infosec發(fā)布了一篇 博客 稱(chēng)DoublePulsar感染案例正在上升，其研究人員確定掃描結(jié)果是真實(shí)反應(yīng)實(shí)際情況的。

Rendition創(chuàng)始人Jake Williams說(shuō)：

這個(gè)數(shù)字只是冰山一角，我確定感染數(shù)量會(huì)超過(guò)120,000。

使用檢測(cè)工具卸除后門(mén)程序

在周二的時(shí)候，Countercept安全公司對(duì)于上周發(fā)布的DoublePulsar檢測(cè)腳本進(jìn)行了更新。用戶(hù)可以從網(wǎng)上遠(yuǎn)程卸除任意一臺(tái)感染設(shè)備上的植入程序。研究員Kevin Beaumont稱(chēng)檢測(cè)到DoublePulsar的過(guò)程包含了發(fā)送一系列的SMB——服務(wù)器信息塊協(xié)議的縮寫(xiě)——到連接互聯(lián)網(wǎng)的計(jì)算機(jī)設(shè)備上。通過(guò)改變傳輸數(shù)據(jù)中的兩個(gè)字節(jié)，該用戶(hù)可以從任何檢測(cè)出感染的設(shè)備上卸除程序。當(dāng)然，這個(gè)腳本并不是清理受損設(shè)備的唯一方法。由于DoublePulsar具備較高的隱匿性，不會(huì)在感染設(shè)備的硬盤(pán)上寫(xiě)入任何文件。

正如前篇報(bào)道中所提及的，由于DoublePulsar是黑客從NSA處獲取的一種核武級(jí)別的植入程序。而微軟出于某種未能解釋的原因，正好在DoublePulsar漏洞工具發(fā)布一月前給出了相應(yīng)的修補(bǔ)程序 。但 這個(gè)后門(mén)程序能夠隱匿自身，并持續(xù)地保持機(jī)器與攻擊者之間的通信交流，通過(guò)CNC服務(wù)器遠(yuǎn)程執(zhí)行攻擊者的命令。

使用第三方工具的問(wèn)題

而在周二發(fā)布的一則 聲明 中，微軟發(fā)言人稱(chēng)：

安裝最新系統(tǒng)程序的用戶(hù)將不會(huì)受到此惡意軟件的威脅，因?yàn)檫@個(gè)后門(mén)程序只能運(yùn)行在受感染的設(shè)備上。所以我們鼓勵(lì)客戶(hù)上網(wǎng)時(shí)踐行良好的使用習(xí)慣，包括謹(jǐn)慎點(diǎn)擊各種網(wǎng)頁(yè)鏈接，不隨意打開(kāi)未知文件或接受文件傳輸。

但對(duì)于沒(méi)有安裝三月份的最新微軟補(bǔ)丁的用戶(hù)而言，在新一輪的Shadow Brokers事件中實(shí)際上很容易受到0day exploit攻擊。所以使用最新的Countercept腳本大規(guī)模地卸除感染設(shè)備中的后門(mén)軟件，幾乎將是無(wú)可避免的。但如果使用者對(duì)設(shè)備沒(méi)有所有權(quán)的話(huà)，這樣的行動(dòng)肯定在大多數(shù)的司法管轄區(qū)受到刑事或民事訴訟。

即便如此，從DoublePulsar中“脫險(xiǎn)”的設(shè)備可能還會(huì)感染到其他的惡意程序，大家真的需要格外謹(jǐn)慎地對(duì)待此次事件。在Microsoft保持緘默的當(dāng)下，這個(gè)工具還是毫無(wú)疑問(wèn)地會(huì)成為那些管理大批老式電腦的管理員們的有力工具！

工具下載地址 ： https://github.com/countercept/doublepulsar-detection-script