Ⅱ. 攻击框架简介
Ⅲ. 受感染主机数据分析
Ⅳ. 各国应急响应浅谈
Ⅴ. 检测与修复方案
Ⅵ. 参考链接
.
├── oddjob 与oddjob后门相关的文件
├── swift 包含攻击SWIFT银行相关文件,包括关键路由信息,数据库信息等
└── windows 本次泄露文件中的重头戏,包含一个攻击框架和众多核弹级别攻击模块
1. 关闭windows防火墙
2. 下载并安装python2.6(https://www.python.org/ftp/python/2.6.6/python-2.6.6.msi)
3. 将python添加至环境变量中
4. 下载并安装Pywin2.6(https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/pywin32-221.win32-py2.6.exe/download)
5. 进入windows文件夹,在命令行下输入mkdir listeningposts,接着运行python fb.py即可开始攻击
6. 如果需要一个图形化的界面,则需要安装java1.6
7. 安装完java1.6后,运行python start_lp.py即可看到图形化界面。
Msfvenom –platform Windows -p windows/x64/exec -f dll -o /tmp/calc.dll CMD=calc
② 除了美国、英国等,其它国家被植入Doublepulsar后门的数量仍在不断增加。
③ 这份数据再次验证了我们在第一轮探测的时候得出的结论:美国安全应急的速度与质量是令人震惊的。在约一周的时间内,美国存在漏洞的主机减少了百分之四十,虽然这个百分比不是最高的,但是作为世界上存在漏洞的主机数量最多的国家,这个数量已经足够说明美国的安全相响应速度了。
1. 本地检测:通过Github项目doublepulsar-detection-script检测Doublepulsar后门是否被植入。
2. 在线检测:通过访问Seebug照妖镜即可在线检测Eternalblue Windows SMB远程代码执行漏洞以及是否被植入Doublepulsar后门
修复方案:
微软已经就相关漏洞发布MS17-010安全公告。请及时将系统更新到最新版。
[2] https://github.com/misterch0c/shadowbroker
[3] http://paper.seebug.org/279/