两周前,神秘黑客组织 Shadow Brokers 发布了一整套NSA Windows 黑客工具。显然,它们是由地球上所有居心不良的黑客下载的,他们将其视为来自天堂的礼物。微软立即试图安抚大家,强调美国机构恶意软件中使用的缺陷已经得到纠正。
那么一切都好吗?并不真地。根据几位安全研究人员的分析,数以万计的显然未打补丁的 Windows 服务器目前感染了“DoublePulsar”,这种恶意软件能够通过将受困的 DLL 注入进程并安装后门,以特别谨慎的方式危害系统。
公司反概念基于与 SMB(服务器消息块)和 RDP(远程桌面服务)网络服务相关的缺陷,对该技术进行了深入的技术分析。她还发表了一篇脚本检测受感染的系统。
法国数百人感染
专家们二进制边缘接管了这个脚本并在网络上分布的大约一百个软件探测器上运行它。 4 月 21 日,他们发现了 106,410 例,4 月 24 日,感染人数升至 183,107 例,几天之内增加了 72%。
涉及的主要地理区域是美国(67,052)、香港(7,485)、中国(3,331)、台湾(3,305)和俄罗斯(3,215)。欧洲也未能幸免,英国有 2,913 例感染,德国有 493 例,法国有 296 例。
安全研究人员来自以下0天还进行了扫描,检测到 56,586 个受感染的系统。
然而,这些统计数据并不一致。安全研究员罗布·格雷厄姆用于互联网扫描的 ,发现了 41,000 个感染。面对这些重大变化,他认为 Countercept 创建的脚本检测到了大量误报。而其他分析表明,这确实是一次大规模且不受控制的黑客攻击。
提问者技术艺术研究员 Dan Tentler 对 50 个明显感染了 DoublePulsar 的系统进行了手动检查,所有系统都确实被感染,无一例外。专家正在进行自己的扫描。据他说,我们正在目睹一场真正的数字“大屠杀”,而且还远未结束。
https://twitter.com/Viss/status/856345586747834368
一旦被感染,这些系统就会受到黑客的摆布,黑客可以利用它们作为跳板来攻击连接到同一本地网络的其他计算机,或者将它们变成僵尸计算机,准备在网络上发起攻击(例如拒绝访问的示例)服务攻击)。
对于安全研究人员感觉赛,这样的发展并不令人意外。在暗网论坛上,他们注意到 NSA 工具被分享了很多,包括教程和实用指南。这就是承诺。
