E安全6月29日訊 作為“影子經紀人”從美國國家安全局(NSA)下轄方程式小組處竊取到的兩款黑客工具之一,
雙脈衝星(DoublePulsar) 後門程序能夠在各類 Windows 版本之上運行,但一直無法與 Windows Embedded 嵌入式操作系統順利對接。近日,網名為 Capt. Meelo 的安全研究人員發現,只要一行簡單的代碼就足以讓這個後門在 Windows Embedded 設備上正常運行。
後門DoublePulsar
DoublePulsar 後門程序2017年4月正式公佈,在短時間內就波及25個國家及地區。當時安恆研究院對全球開放SMB端口的主機進行探測分析發現,全球範圍內檢測發現被入侵植入DoublePulsar後門的主機94,613個,其中檢測到美國被植入後門主機數量為58,072, 佔全球數量的61%, 中國被植入後門主機數量為20,655,佔全球數量的22%。
DoublePulsar 用於在已感染的系統上注入和運行惡意代碼,是 NSA 用作監聽使用的一種複雜的多架構 SMB(服務器消息塊)後門程序,能夠在受感染機器上很好地掩藏自身行跡。該後門在 NSA 的 FuzzBunch 軟件(類似於 Rapid7 的 Metasploit 漏洞利用框架)中得到使用。
顯然,會受到攻擊影響的計算機系統是存在漏洞的Windows版本,因為這給攻擊者提供了其 SMB 端口。一旦後門被植入,攻擊者就就可以毫無阻礙的向目標機器植入dll 或者 shellcode,植入的任意程序或者代碼將以系統最高權限運行,導致系統被完全控制。
此前:後門無法與Windows Embedded對接
網名為 Capt. Meelo 的安全研究人員表示,實際上 Windows Embedded 操作系統本身也容易受到 NSA 相關攻擊活動的影響。
這名研究人員發現,Windows Embedded 確實極易受到攻擊,但與漏洞利用相關的 Metasploit 模塊在該平臺上無法正常起效。而在嘗試 FuzzBunch 之後,他證明了導致目標設備受到入侵的根源確實是“永恆之藍”。儘管對“永恆之藍”模塊的利用獲得成功,但 DoublePulsar 卻始終無法成功安裝。
本文源自E安全
這位研究人員繼續對該植入物進行分析後發現,只要一行簡單的代碼就足以使其在 Windows Embedded 上順利運行。
如何讓該後門在Windows Embedded 上順利運行?
後門 DoublePulsar 在設計層面會對目標計算機上的 Windows 版本進行檢查,並在 Windows 7 或者其它迭代版本上獲取安裝路徑。然而,這項檢查在 Windows Embedded 當中無法實現,因此會生成一條錯誤信息。
通過簡單修改“Windows 7 OS Check”中的指令,這位研究人員得以強迫該植入物選用特定的安裝路徑。
研究人員 Capt·Meelo 解釋稱:
本文源自E安全
接下來,我通過文件->生成文件->創建 DIF 文件,創建出一個 DIF 文件。”
本文源自E安全
本文源自E安全
而利用一份來自網友兼安全愛好者 StalkR 提供的腳本,他隨後修復了這個遭到修改的 .exe 文件,並將修改後的 Doublepulsar-1.3.1.exe 重新移動至其原始位置。
本文源自E安全
如此一來,由此生成的 DLL payload 將得以成功注入至目標主機當中。
本文源自E安全
本文源自E安全
閱讀更多 E安全 的文章
