DOUBLEPULSAR与ETERNALBLUE关联分析从漏洞利用到后门植入的完整攻击链【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-scriptDOUBLEPULSAR后门检测工具是一个专门用于发现Windows系统中DOUBLEPULSAR植入的专业安全脚本。这个开源项目帮助安全人员快速检测网络中是否存在被ETERNALBLUE漏洞利用后植入的DOUBLEPULSAR后门提供了完整的网络扫描和威胁检测解决方案。 什么是DOUBLEPULSAR后门DOUBLEPULSAR是Shadow Brokers泄露的NSA工具集中的关键组件之一它本质上是一个内核级后门程序。当攻击者成功利用ETERNALBLUE漏洞MS17-010入侵Windows系统后DOUBLEPULSAR会被植入到目标系统中为攻击者提供持久的远程访问能力。这个后门具有以下特点隐蔽性极强运行在内核空间难以被传统杀毒软件检测持久性访问即使系统重启后仍然存在双向通信支持SMB445端口和RDP3389端口两种协议模块化架构可以加载和执行各种恶意模块⚡ DOUBLEPULSAR检测脚本的工作原理该项目包含两个核心检测脚本SMB版本检测(detect_doublepulsar_smb.py)这个脚本通过发送特定的SMB协议数据包来检测445端口上的DOUBLEPULSAR后门。它模拟正常的SMB会话建立过程但在Trans2 Session Setup阶段发送一个特殊的ping命令# 关键检测逻辑 if final_response[34] \x51: print [] [%s] DOUBLEPULSAR SMB IMPLANT DETECTED!!!当接收到响应代码0x51时表示系统已被感染。脚本还能通过发送不同的操作码0x42来卸载后门这是基于zerosum0x0逆向分析发现的机制。RDP版本检测(detect_doublepulsar_rdp.py)针对RDP协议的后门检测脚本连接到3389端口发送特定的RDP协商包和客户端数据包然后发送ping包检测# RDP检测逻辑 if len(ping_response) 288: print [] [%s] DOUBLEPULSAR RDP IMPLANT DETECTED!!!️ 完整的攻击链分析第一阶段漏洞利用ETERNALBLUE攻击者首先利用MS17-010漏洞通过发送精心构造的SMBv1数据包触发缓冲区溢出获得内核代码执行权限。第二阶段后门植入DOUBLEPULSAR成功利用漏洞后攻击者将DOUBLEPULSAR后门植入系统内核建立持久的控制通道。第三阶段持久化访问后门一旦植入攻击者可以通过SMB或RDP协议与后门通信执行任意代码、窃取数据或部署其他恶意模块。 快速检测你的网络使用该工具检测网络中的DOUBLEPULSAR感染非常简单单IP检测# 检测单个IP的SMB后门 python detect_doublepulsar_smb.py --ip 192.168.1.100 # 检测单个IP的RDP后门 python detect_doublepulsar_rdp.py --ip 192.168.1.100批量网络扫描# 扫描整个网段 python detect_doublepulsar_smb.py --net 192.168.1.0/24 # 从文件读取IP列表 python detect_doublepulsar_smb.py --file ip_list.txt --threads 20后门卸载功能如果检测到感染可以使用--uninstall参数移除后门python detect_doublepulsar_smb.py --ip 192.168.1.100 --uninstall 检测结果解读阳性检测结果[] [192.168.1.100] DOUBLEPULSAR SMB IMPLANT DETECTED!!! Arch: x64 (64-bit), XOR Key: 0x7c3bf3c1这表示系统已被感染输出包含架构信息x86或x64系统XOR密钥用于后门通信的加密密钥阴性检测结果[-] [192.168.1.100] No presence of DOUBLEPULSAR SMB implant表示系统未检测到DOUBLEPULSAR后门。 Snort规则集成项目还提供了专业的Snort检测规则 (doublepulsar_snort_rules.rules)可以在网络层面检测DOUBLEPULSAR活动alert tcp any any - $HOME_NET 445 (msg:DOUBLEPULSAR SMB implant - Unimplemented Trans2 Session Setup Subcommand Request; flow:to_server, established; content:|FF|SMB|32|; depth:5; offset:4; content:|0E 00|; distance:56; within:2; sid:1618009;)这些规则检测DOUBLEPULSAR使用的未实现Trans2 Session Setup子命令请求。 企业级部署建议1. 定期扫描计划每周对关键服务器进行扫描每月对全网进行完整扫描新系统上线前必须扫描2. 监控策略集成到SIEM系统中设置告警机制记录所有扫描结果用于审计3. 应急响应流程立即隔离受感染主机使用工具卸载后门打上MS17-010补丁进行全面的安全评估 最佳实践与注意事项扫描前准备确保有合法的授权进行扫描在生产环境扫描时选择非高峰时段备份重要数据后再进行卸载操作性能优化使用--threads参数调整并发连接数合理设置--timeout参数避免长时间等待对于大型网络分批扫描避免网络拥塞误报处理某些Windows版本如2012可能会返回ACCESS_DENIED错误这通常意味着系统不易受攻击而不是误报。 为什么选择这个工具专业级检测能力基于实际的DOUBLEPULSAR通信协议实现支持SMB和RDP两种感染途径检测提供后门卸载功能企业级特性支持多线程批量扫描提供详细的日志输出集成Snort规则用于网络监控开源优势代码透明安全可信社区持续维护更新可根据需求自定义修改 技术深度解析检测机制详解DOUBLEPULSAR检测工具利用了后门的一个关键特性它会响应特定的ping命令。当发送特定的Trans2 Session Setup请求子命令0x0E时感染系统会返回0x51响应而非感染系统则不会响应或返回错误。通信协议分析后门使用XOR加密进行通信工具能够计算出每个感染的XOR密钥这对于分析攻击者的活动模式非常有价值。架构识别通过分析响应签名工具能够识别后门运行在32位还是64位系统上这对于后续的清理和修复工作很重要。 持续监控与防御主动防御策略补丁管理确保所有系统及时安装MS17-010补丁网络分段限制SMB和RDP端口的访问范围入侵检测部署Snort规则实时监控被动检测策略定期扫描使用本工具定期检查网络日志分析监控异常的网络连接行为分析关注异常的系统行为 快速开始指南安装步骤# 克隆仓库 git clone https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script.git cd doublepulsar-detection-script # 安装依赖如果需要 pip install netaddr基本使用示例# 扫描单个IP python detect_doublepulsar_smb.py --ip 10.0.0.1 # 扫描整个子网 python detect_doublepulsar_smb.py --net 10.0.0.0/24 # 详细输出模式 python detect_doublepulsar_smb.py --ip 10.0.0.1 --verbose 总结DOUBLEPULSAR检测工具为企业安全团队提供了一个强大而实用的解决方案用于检测和清理ETERNALBLUE攻击链中的关键后门。通过定期使用这个工具组织可以✅快速发现感染在攻击者造成更大损害前检测到后门✅及时清理威胁一键卸载DOUBLEPULSAR后门✅增强安全态势通过持续监控防止再次感染✅满足合规要求证明已采取适当的安全措施记住安全是一个持续的过程。即使清除了DOUBLEPULSAR后门也必须确保系统打上了所有必要的安全补丁并实施了适当的安全控制措施。安全建议定期使用这个工具扫描你的网络将其纳入标准的安全运维流程中并与其他的安全工具和策略相结合构建多层次的安全防御体系。【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考