Hướng dẫn kiểm tra sự hiện diện của mã độc DOUBLEPULSAR bị rò rỉ từ NSA trên máy tính mục tiêu

By | 4:56 pm | 25/04/2017

VỀ DOUBLEPULSAR

DOUBLEPULSAR là một trong số các công cụ hacking của NSA bị Shadow Brokers phát tán vào cuối tuần trước, đã được hacker sử dụng trong tự nhiên, và lây nhiễm mã độc lên 30.625 máy tính trên toàn thế giới.

DoublePulsarMapCác máy tính bị nhiễm DOUBLEPULSAR đang lan rộng trên toàn thế giới

Khi mã độc được thực thi, nó sẽ tạo ra file: Doublepulsar-1.3.1.exe

Mã độc mở ra một backdoor trên máy tính bị nhiễm và kết nối đến một địa điểm từ xa. Nó kết nối với kẻ tấn công sử dụng một hoặc các giao thức sau:

  • RDP
  • SMB

Mã độc DOUBLEPULSAR có thể thực hiện các hành động sau:

  • Kiểm tra sự hiện diện của bản thân nó
  • Inject một DLL vào tiến trình người dùng và gọi đến hàm được chỉ định
  • Thực thi shellcode từ kẻ tấn công
  • Thả shellcode vào một tập tin trên đĩa
  • Tự gỡ cài đặt chính nó

DoublePulsarScanChartBản đồ với các quốc gia bị ảnh hưởng nhiều nhất bởi mã độc DOUBLEPULSAR

HƯỚNG DẪN KIỂM TRA

Bài viết này đưa ra các công cụ kiểm tra cũng như hướng dẫn thực hiện kiểm tra xem máy tính mục tiêu có bị ảnh hưởng bởi mã độc DOUBLEPULSAR hay không dựa trên các phản hồi kết nối SMB và RDP từ máy tính mục tiêu.

1. Công cụ doublepulsar-detection-script là tập các python2 script hỗ trợ quét một địa chỉ IP và cả một danh sách các IP nhằm phát hiện các địa chỉ IP bị nhiễm mã độc DOUBLEPULSAR.

Sau đây là các bước thực hiện kiểm tra:

Bước 1: Clone script từ github:

git clone https://github.com/countercept/doublepulsar-detection-script.git

Bước 2: Thực thi file detect_doublepulsar_smb.py để thực hiện quét địa chỉ IP hoặc một danh sách IP mong muốn với phản hồi kết nối SMB từ máy tính mục tiêu. Ví dụ, để quét một địa chỉ IP:

root@kali:~# python detect_doublepulsar_smb.py --ip 192.168.175.128

Kết quả trả về như sau cho thấy máy tính mục tiêu đã bị nhiễm mã độc DOUBLEPULSAR thông qua SMB

[+] [192.168.175.128] DOUBLEPULSAR SMB IMPLANT DETECTED!!!

Nếu kết quả trả về như sau cho thấy máy tinh mục tiêu không bị nhiễm DOUBLEPULSAR

[-] [192.168.175.128] No presence of DOUBLEPULSAR SMB implant

Bước 3: Thực thi file detect_doublepulsar_ rdp.py để thực hiện quét địa chỉ IP hoặc dải IP mong muốn với phản hồi kết nối RDP từ máy tính mục tiêu. Ví dụ, để quét một danh sách địa chỉ IP:

root@kali:~# python detect_doublepulsar_rdp.py --file ips.list --verbose --threads 1

Khi đó script sẽ thực hiện quét một danh sách địa chỉ IP và trả về kết quả cho mỗi địa chỉ IP mà nó thực hiện quét, kết quả trả về được mô phỏng như dưới đây:

[*] [192.168.175.141] Sending negotiation request
[*] [192.168.175.141] Server explicitly refused SSL, reconnecting
[*] [192.168.175.141] Sending non-ssl negotiation request
[*] [192.168.175.141] Sending ping packet
[-] [192.168.175.141] No presence of DOUBLEPULSAR RDP implant
[*] [192.168.175.143] Sending negotiation request
[*] [192.168.175.143] Server chose to use SSL - negotiating SSL connection
[*] [192.168.175.143] Sending SSL client data
[*] [192.168.175.143] Sending ping packet
[-] [192.168.175.143] No presence of DOUBLEPULSAR RDP implant
[*] [192.168.175.142] Sending negotiation request
[*] [192.168.175.142] Sending client data
[*] [192.168.175.142] Sending ping packet
[+] [192.168.175.142] DOUBLEPULSAR RDP IMPLANT DETECTED!!!

Theo như ví dụ trên, có thể thấy trong dải IP mà script quét có địa chỉ IP 192.168.175.142 được phát hiện là bị nhiễm mã độc, trong khi 192.168.175.143 và 192.168.175.141 không bị nhiễm mã độc.

2. Công cụ smb-double-pulsar-backdoor kiểm tra máy tính mục tiêu có đang chạy backdoor DoublePulsar SMB.

Thực thi câu lệnh sau:

nmap -p 445 <target> --script=smb-double-pulsar-backdoor

Nếu máy tính mục tiêu đang chạy backdoor DoublePulsar SMB, kết quả trả về như dưới đây:

| smb-double-pulsar-backdoor:
|   VULNERABLE:
|   Double Pulsar SMB Backdoor
|     State: VULNERABLE
|     Risk factor: HIGH  CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)
|       The Double Pulsar SMB backdoor was detected running on the remote machine.
|
|     Disclosure date: 2017-04-14
|     References:
|       https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312/
|       https://github.com/countercept/doublepulsar-detection-script
|_      https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

Hiện có rất nhiều quốc gia đang bị nhiễm mã độc DOUBLEPULSAR, trong đó có Việt Nam hiện đang có số lượng các máy tính bị nhiễm mã độc này rất lớn. Bởi vậy yêu cầu các quản trị viên cũng như người dùng thực hiện kiểm tra các máy chủ để đảm bảo không bị nhiễm mã độc.