方程式组织攻击工具Doublepulsar分析报告

近日,勒索软件WannaCry在世界各地爆发,安天CERT(安全研究与应急处理中心)连续发布了多篇分析报告。WannaCry不仅使用了方程式Eternalblue攻击工具,还使用了Doublepulsar后门。

Doublepulsar后门是“影子经纪人”在2017年4月14日泄露出的方程式组织攻击工具包中的一个模块。与Etenalblue相同,Doublepulsar利用SMB漏洞,通过445端口进行攻击。攻击者使用“use Doublepulsar”命令调用该模块,设置完目标主机、回连主机后,即可进行五项功能选择。第一个选项,“OutputInstall”,选择后可以将安装功能的shellcode导出到二进制文件中;第二个选项,“Ping”,Ping功能是用来测试后门是否存在的,攻击者可以利用该功能对目标主机进行漏洞扫描,但这也为我们检测主机是否存在漏洞提供了便利,通过抓取Ping功能的流量,能够帮助分析人员及开发人员识别设备是否已经被植入后门和改进产品。第三个选项,“RunDLL”,使用异步调用向用户模式的进程植入DLL,攻击者利用msf等自动化工具生成可供利用的DLL,加载该DLL,通过“RunDLL”选项将DLL植入到系统进程中。第四个选项,“RunShellcode”,可以通过该选项直接运行shellcode。最后一个选项是“Uninstall”,可以移除系统中的后门,这也为分析人员提供了一个解决问题的好方法。

虽然微软在三月份已经发布了MS17-010补丁,但是很多用户并没有安装该补丁,多名研究人员在微软发布补丁之后进行了互联网扫描,结果发现全球数万台Windows计算机感染了Doublepulsar,由此可见,本次WannaCry勒索软件在全世界大面积传播并不是偶然。安天CERT建议未打补丁的用户首先拔掉网线,与内网机器隔离,然后使用安天勒索软件Wannacry免疫工具设置免疫,使用专杀工具清除病毒,之后使用PE盘进入操作系统进行备份数据,最后再打开计算机。目前,安天追影威胁检测系统已经实现了对于Doublepulsar样本的检出。

报告地址:
https://antiy.pta.center/_lk/details.html?hash=C24315B0585B852110977DACAFE6C8C1