兩週前,神秘駭客組織 Shadow Brokers 發布了一整套NSA Windows 駭客工具。顯然,它們是由地球上所有居心不良的駭客下載的,他們將其視為來自天堂的禮物。微軟立刻試圖安撫大家,強調美國機構惡意軟體中所使用的缺陷已經修正。
那麼一切都好嗎?並不真地。根據幾位安全研究人員的分析,數以萬計的顯然未打補丁的Windows 伺服器目前感染了“DoublePulsar”,這種惡意軟體能夠透過將受困的DLL 注入進程並安裝後門,以特別謹慎的方式危害系統。
公司反概念基於與 SMB(伺服器訊息區塊)和 RDP(遠端桌面服務)網路服務相關的缺陷,對該技術進行了深入的技術分析。她也發表了一篇腳本檢測受感染的系統。
法國數百人感染
專家們二進位邊緣接管了這個腳本並在網路上分佈的大約一百個軟體探測器上運行它。 4 月 21 日,他們發現了 106,410 例,4 月 24 日,感染人數升至 183,107 例,幾天之內增加了 72%。
涉及的主要地理區域是美國(67,052)、香港(7,485)、中國(3,331)、台灣(3,305)和俄羅斯(3,215)。歐洲也未能倖免,英國有 2,913 例感染,德國有 493 例,法國有 296 例。
安全研究人員來自以下0天還進行了掃描,檢測到 56,586 個受感染的系統。
然而,這些統計數據並不一致。安全研究員羅布·格雷厄姆用於網路掃描的 ,發現了 41,000 個感染。面對這些重大變化,他認為 Countercept 創建的腳本偵測到了大量誤報。而其他分析表明,這確實是一次大規模且不受控制的駭客攻擊。
提問者技術藝術研究員 Dan Tentler 對 50 個明顯感染了 DoublePulsar 的系統進行了手動檢查,所有系統都確實被感染,沒有例外。專家正在進行自己的掃描。據他說,我們正在目睹一場真正的數字“大屠殺”,而且還遠未結束。
https://twitter.com/Viss/status/856345586747834368
一旦被感染,這些系統就會受到駭客的擺佈,駭客可以利用它們作為跳板來攻擊連接到同一本地網路的其他計算機,或者將它們變成殭屍計算機,準備在網路上發動攻擊(例如拒絕存取的範例)服務攻擊)。
對於安全研究人員感覺賽,這樣的發展並不令人意外。在暗網論壇上,他們注意到 NSA 工具被分享了很多,包括教學和實用指南。這就是承諾。
