Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор
После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry.
EternalBlue Tutorial — Doublepulsar With Metasploit (MS17-010)
Г.Мудрец (16246) 5 лет назад
Г. Мудрец (16246) в авасте при скане сейчас у меня написано -ваш компьютер уязвим для этого червя и надо отключить эту службу в настройках. и как?
Источник: otvet.mail.ru
DoublePulsar (CVE)
Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 22:30, 27 мая 2019.
| CVE-2010-2550 |
| 2017 ; 5 years ago ( 2017 ) |
| 14 March 2014 года ; 8 years ago ( 2014-03-14 ) |
| Sean Dillon |
| SMB |
DoublePulsar — это бэкдор, предположительно созданный Агентством Национальной Безопастности США АНБ) и опубликованный хакерской группой The Shadow Brokers в начале 2017 года. Бэкдор — это метод, пропускающий обычную аутентификацию или шифрование в компьютерной системе. Бэкдоры часто используются для обеспечения удаленного доступа к компьютеру или получения доступа к открытому тексту в криптографических системах. Бэкдор может использоваться для получения доступа к паролям или передачи информации в облако.
Принцип работы
DoublePulsar работает в режиме ядра, который предоставляет хакерам высокий уровень контроля над компьютерной системой. После установки доступны три команды: ping, kill и exec, последняя из которых, вероятнее всего, может быть использована для загрузки вредоносного ПО в систему.
В хакерской группировке Shadow Brokers можно найти такие файлы, как DoublePulsar.exe и EternalBlue.exe. Выясняется, что это отвлекающий маневр(EternalBlue.exe содержал свою собственную полезную нагрузку).
Нулевой шаг: определение архитектуры компьютера
Основная полезная нагрузка довольно велика, потому что она содержит shellcode для x86 и x64. Первые несколько байтов используют обман кода операций для ветвления к правильной архитектуре. Теперь, когда система эксплуатируется, прикрепленный отладчик ядра автоматически сломается, когда shellcode начнет выполняться. [Источник 1] .
Первый шаг: нахождение ntoskrnl.exe — базовый адрес
Как только шеллкод выясняет, что это x64, он начинает искать базу ntoskrnl.exe. В пользовательском режиме сегмент GS для x64 содержит блок информации о потоке (TIB), который содержит блок среды процесса (PEB), структуру, содержащую все виды информации о текущем запущенном процессе.
В режиме ядра этот сегмент вместо этого содержит область управления процессом ядра (KPCR), структуру, которая при нулевом смещении фактически содержит текущий процесс PEB. Код захватывает смещение 0x38 KPCR, которое является «IdtBase» и содержит структуру указателя KIDTENTRY64. Те, кто знаком с семейством x86, знают, что это таблица дескрипторов прерываний. При смещении 4 в структуру KIDENTRY64 вы можете получить указатель функции на обработчик прерываний, который является кодом, определенным внутри ntoskrnl.exe.
Второй шаг: нахождение необходимых указателей функций
Как только вы знаете, где находится заголовок MZ PE-файла, вы можете заглянуть в определенные смещения для каталога экспорта и получить относительный виртуальный адрес (RVA) любой функции, которую вы хотите. Как и большинство shellcode-ов пользовательского окружения, shellcode в нулевом кольце также использует алгоритм хэширования вместо жестко закодированных строк, чтобы найти необходимые функции( ZwQuerySystemInformation , ExAllocatePool , ExFreePool ). ExAllocatePool можно использовать для создания областей исполняемой памяти, а ExFreePool может очистить ее после завершения. Они важны, поэтому shellcode может выделять пространство для своих крючков и других функций. ZwQuerySystemInformation имеет важное значение на следующем этапе.
Третий шаг: нахождение Srv.sys SMB Driver
Особенностью ZwQuerySystemInformation является константа с именем SystemQueryModuleInformation со значением 0xb. Это дает список всех загруженных драйверов в системе. Затем shellcode ищет в этом списке два разных хэша, и он приземляется на Srv.sys, который является одним из основных драйверов, на которых работает SMB.
Четвёртый шаг: исправление таблицы отправки SMB Trans2
Теперь, когда DoublePulsar shellcode имеет основной драйвер SMB, он повторяет .sys PE разделы, пока он не доберется до раздел данных(.data). Внутри раздела данных обычно есть глобальная памятью для чтения/записи, и здесь хранится SrvTransaction2DispatchTable , массив указателей функций, которые обрабатывают различные задачи SMB. Shellcode выделяет некоторую память и копирует код для своего функционального крючка.
Затем shellcode хранит указатель функции для отправки с именем SrvTransactionNotImplemented() (чтобы он мог вызвать его из кода крючка). Затем он перезаписывает этот член внутри SrvTransaction2DispatchTable с помощью крючка. Вот и все. Бэкдор завершен. Теперь он просто возвращает свой собственный стек вызовов и выполняет некоторые небольшие работы по очистке.
Пятый шаг: завершение
Теперь, когда DoublePulsar отправляет свои конкретные запросы (стуки), которые рассматриваются как недопустимые вызовы SMB, таблица отправки вызывает подключенную поддельную функцию SrvTransactionNotImplemented() . С вторичными полезными нагрузками DoublePulsar (такими как инжектирование DLL), хук функция видит, правильно ли вы «стучите» и выделяет исполняемый буфер для запуска необработанного shellcode-а. Все остальные запросы направляются непосредственно в исходную функцию SrvTransactionNotImplemented() . DoublePulsar не полностью стирает функцию крючка из памяти, просто делает ее спящей. Теперь у вас есть этот, очень сложный, мульти-архитектурный SMB бэкдор.
История появления
Вредоносное ПО доставлялось через TCP порт 445, использующий эксплойт EternalBlue, который использует уязвимость в реализации протоколов SMB. Microsoft Corporation выпустило мартовское обновление, но последние отчеты утверждали, что множество пользователей ПК не смогли применить исправления или использовали неподдерживаемую(пиратскую) версию Windows.
Дэн Тентлер, основатель Phobos Group, неоднократно сканировал Интернет на наличие угроз заражения. Он опубликовал свой пост в Twitter, в котором заявил, что почти 3% всех подключенных компьютеров, использующих открытый порт 445 были заражены вредоносным ПО(примерно 143000 машин) [Источник 2] .
После недавнего опубликованного предупредительного поста от Тентлера, новое сканирование показало, что уже около 25% всех уязвимых публично открытых SMB машин были заражены. Между тем, анализ интернет данных, проводимый фирмой BinaryEdge, выполнявшей серию ежедневных сканирований с пятницы 21 апреля до понедельника 24 апреля.
Согласно результатам количество заражённых компьютеров увеличилось с 106410 до 183107 за 4 дня. Проведя собственное сканирование, компания BelowoDay обнаружила почти 5,2 миллиона уязвимых хостов на 21 апреля. Затем, используя скрипт от Countercept, компания идентифицировала 56586 заражённых с помощью DoublePulsar хостов по всему миру, среди которых 14000 были зарегистрированы в США. Однако это число росло со сканирования 18 апреля, то есть было обнаружено 30626 заражений среди 5,5 миллионов потенциально уязвимых хостов.
В заявлении, напечатанном Ars Techica в пятницу, Microsoft писал: «Мы сомневаемся в точности отчётов и проводим расследование.» В понедельник SC Media обратилась к Microsft за дальнейшими комментариями и получила следующие заявление от представителя компании: «Покупатели с обновленным ПО защищены. Мы рекомендуем клиентам практиковать хорошие компьютерные навыки в интернете, в том числе проявлять осторожность при нажатии на ссылки на веб-страницы, открытии неизвестных файлов или принятии передачи файлов.
Маловероятно, что разработчик оригинального вредоносного ПО является сотрудником АНБ и причастен к заражению тысяч и тысяч жертв. Наиболее вероятно, что эти заражения являются недавней работой злоумышленников из Shadow Brokers, использующих богатство хакерских инструментов, просочившихся ранее в этом месяце.
Источники
Источник: ru.bmstu.wiki
Удаление DOUBLEPULSAR Backdoor
Предоставить: 
Что такое DOUBLEPULSAR Backdoor?
DOUBLEPULSAR Backdoor (или Backdoor.Doublepulsar) является вредным элементом, который может проникнуть в любой операционной системе Windows. Он используется кибер-жуликов сделать легко прибыль от пользователей компьютеров. Угроза способен блокировки программное обеспечение и брандмауэр, не говоря уже о том, что он изменяет конфигурацию вашего компьютера.
Есть несколько трюков, что вредоносные программы используют для проникновения в компьютеры, так что если вы выходите в Интернет без быть крайне осторожными, ты можешь заразиться даже не осознавая этого. Существует никаких сомнений в том, что вы должны избавиться от DOUBLEPULSAR Backdoor, как только вы можете.
Как работает DOUBLEPULSAR Backdoor?
После того, как троянец скользит в вашу систему через freeware расслоение, поврежденные ссылки или вложения, поддельные объявления, или другими средствами, он начинает его злокачественных поведение сразу. Он может карабкаться ваши файлы, остановить диспетчер задач от функционирования, блокировать другие программы от бега, причины медленного падения или поломки, наводнение ваши браузеры с недостоверной рекламы данных и многое другое. К сожалению вы не будет иметь возможность использовать компьютер или веб-серфинга, путь, который вы использовали для из-за паразитов.
Хотя сбоев, вызванных небезопасными компонент является серьезным вопросом и, конечно, причина достаточно для вас прекратить DOUBLEPULSAR Backdoor прямо сейчас, вы должны знать, что его главной целью является предоставить удаленный доступ к вашему компьютеру кибер-преступников. С помощью бэкдор, хакеры могут обойти систему безопасности и украсть вашу личную и финансовую информацию. Это включает в себя ваши логины, пароли, банковские реквизиты и многое другое. Ясно, что если эти данные попадут в чужие руки, вы можете пострадать от серьезных неприятностей как финансовые потери, кражи и т.д. Таким образом важно, что вы устранить DOUBLEPULSAR Backdoor с вашего компьютера без колебаний.
Как удалить DOUBLEPULSAR Backdoor?
К сожалению ручной DOUBLEPULSAR Backdoor удаления невозможна, если вы передовые навыки работы с компьютером. В любом случае как вы можете иметь более чем одного паразита в вашей системе, вы должны убедиться, что вы устранить все из них. Что может быть сделано только с помощью авторитетных анти вредоносные программы. Вы можете приобрести программное обеспечение от этой страницы.
Он будет выполнять полное сканирование ПК обнаружения всех вредоносных элементов. Для удаления вредоносных программ будет стереть DOUBLEPULSAR Backdoor и других угроз, которые он находит. В дополнение к этому утилита будет оставаться полезной для вас, даже после того, как вы использовать его для удаления DOUBLEPULSAR Backdoor, потому что она поставляется с возможностей предотвращения вредоносных программ. Anti-malware защитит вас от различных онлайн инфекций, включая троянские программы, spyware, вымогателей и многое другое.
Offers
Скачать утилиту to scan for DOUBLEPULSAR Backdoor Use our recommended removal tool to scan for DOUBLEPULSAR Backdoor. Trial version of WiperSoft provides detection of computer threats like DOUBLEPULSAR Backdoor and assists in its removal for FREE. You can delete detected registry entries, files and processes yourself or purchase a full version.
More information about WiperSoft and Uninstall Instructions. Please review WiperSoft EULA and Privacy Policy. WiperSoft scanner is free. If it detects a malware, purchase its full version to remove it.
Site Disclaimer
2-remove-virus.com is not sponsored, owned, affiliated, or linked to malware developers or distributors that are referenced in this article. The article does not promote or endorse any type of malware. We aim at providing useful information that will help computer users to detect and eliminate the unwanted malicious programs from their computers. This can be done manually by following the instructions presented in the article or automatically by implementing the suggested anti-malware tools.
The article is only meant to be used for educational purposes. If you follow the instructions given in the article, you agree to be contracted by the disclaimer. We do not guarantee that the artcile will present you with a solution that removes the malign threats completely. Malware changes constantly, which is why, in some cases, it may be difficult to clean the computer fully by using only the manual removal instructions.
Добавить комментарий Отменить ответ
Читать на мобильном устройстве
Сканируйте QR код и получите инструкции по удалению MainSignSearch Adware на ваш мобильный.
QR-код находится на нашем сайте потому, что иногда бывает сложно удалить такие нежелательные программы, как MainSignSearch Adware. Вы можете отсканировать QR-код с помощью вашего мобильного телефона и получить инструкции ручного удаления, которые помогут вам удалить MainSignSearch Adware с вашего устройства.
Hi, I am Carine Febre. I live in France and I am a journalist who is also well-skilled in malware research. I am extremely interested in text creation process, especially if it is associated with spyware removal, as I know customers need it. Many years ago, I assumed that my passion is not only to take interest in many different spheres and things, move my thoughts from my mind to paper, but also be involved in the process of helping people. That’s why I am happy with who I am now – a writer and a malware researcher, attemping to provide you with the tested and most qualified virus removal tips.
Faithufully, Carine Febre
Offer Скачать утилиту to scan for DOUBLEPULSAR Backdoor If you have been infected with DOUBLEPULSAR Backdoor, you need to get rid of it as soon as possible. For faster removal, use anti-malware software.
More information about WiperSoft and Uninstall Instructions. Please review WiperSoft EULA and Privacy Policy.
Последние угрозы
- Удалить Tcvp файловый вирус — Tcvp удаление программ-вымогателей
- Убирать. Tcvp файл вирус и расшифровка . Tcvp Файлы ✔️ ✔️ ✔️
- Убирать. LATCHNETWORK файл вирус и расшифровка . LATCHNETWORK Файлы ✔️ ✔️ ✔️
- Убирать Yguekcbe Ransomware
- Убирать SEX3 Ransomware
- Убирать MainSignSearch Adware
- Убирать .Fatp Ransomware
- Что такое » Your Windows 10 is infected with 5 viruses » мошенничество
Категории
- Toolbar
- Взломщик браузера
- Видео
- Вредоносная программа
- Лжеантивирус
- Новости безопасности
- Потенциально-нежелательная программа
- Рекламная программа
- Руководства и учебные пособия
- Троян
Страниц
- Свяжитесь с нами
- Отказ от ответственности
- Раскрытие информации
- Условия предоставления услуг
- Политика конфиденциальности
Почти готово! Щелкните загруженный файл, чтобы установить программное обеспечение.
Щелкните здесь, чтобы начать загрузку вручную.
Источник: www.2-remove-virus.com
Статья Eternalblue Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина — потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.
файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb
собственно все на скринах
Если все пройдет успешно — получим доступ к тачке.
В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах — перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)
Источник: codeby.net