0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何让后面DoublePulsar在Windows Embedded上顺利运行?

pIuy_EAQapp 来源:未知 作者:工程师郭婷 2018-07-26 14:53 次阅读

作为“影子经纪人”从美国国家安全局(NSA)下辖方程式小组处窃取到的两款黑客工具之一,双脉冲星(DoublePulsar) 后门程序能够在各类 Windows 版本之上运行,但一直无法与 Windows Embedded 嵌入式操作系统顺利对接。

近日,网名为 Capt. Meelo 的安全研究人员发现,只要一行简单的代码就足以让这个后门在 Windows Embedded 设备上正常运行。

后门DoublePulsar

DoublePulsar 后门程序2017年4月正式公布,在短时间内就波及25个国家及地区。当时安恒研究院对全球开放SMB端口的主机进行探测分析发现,全球范围内检测发现被入侵植入DoublePulsar后门的主机94,613个,其中检测到美国被植入后门主机数量为58,072, 占全球数量的61%, 中国被植入后门主机数量为20,655,占全球数量的22%。

DoublePulsar 用于在已感染的系统上注入和运行恶意代码,是 NSA 用作监听使用的一种复杂的多架构 SMB(服务器消息块)后门程序,能够在受感染机器上很好地掩藏自身行迹。该后门在 NSA 的 FuzzBunch 软件(类似于 Rapid7 的 Metasploit 漏洞利用框架)中得到使用。

显然,会受到攻击影响的计算机系统是存在漏洞的Windows版本,因为这给攻击者提供了其 SMB 端口。一旦后门被植入,攻击者就就可以毫无阻碍的向目标机器植入dll 或者 shellcode,植入的任意程序或者代码将以系统最高权限运行,导致系统被完全控制。

此前:后门无法与Windows Embedded对接

网名为 Capt. Meelo 的安全研究人员表示,实际上 Windows Embedded 操作系统本身也容易受到 NSA 相关攻击活动的影响。

这名研究人员发现,Windows Embedded 确实极易受到攻击,但与漏洞利用相关的 Metasploit 模块在该平台上无法正常起效。而在尝试 FuzzBunch 之后,他证明了导致目标设备受到入侵的根源确实是“永恒之蓝”。尽管对“永恒之蓝”模块的利用获得成功,但 DoublePulsar 却始终无法成功安装。

这位研究人员继续对该植入物进行分析后发现,只要一行简单的代码就足以使其在 Windows Embedded 上顺利运行。

如何让该后门在Windows Embedded 上顺利运行?

后门 DoublePulsar 在设计层面会对目标计算机上的 Windows 版本进行检查,并在 Windows 7 或者其它迭代版本上获取安装路径。然而,这项检查在 Windows Embedded 当中无法实现,因此会生成一条错误信息

通过简单修改“Windows 7 OS Check”中的指令,这位研究人员得以强迫该植入物选用特定的安装路径。

研究人员 Capt·Meelo 解释称:

“为了完成上述目标,我采取的操作为编辑-》补丁程序-》变更字节。而后,我将其中的值74(JZ操作码)更改为75(JNZ操作码)。

如何让后面DoublePulsar在Windows Embedded上顺利运行?

接下来,我通过文件-》生成文件-》创建 DIF 文件,创建出一个 DIF 文件。”

如何让后面DoublePulsar在Windows Embedded上顺利运行?

如何让后面DoublePulsar在Windows Embedded上顺利运行?

而利用一份来自网友兼安全爱好者 StalkR 提供的脚本,他随后修复了这个遭到修改的 .exe 文件,并将修改后的 Doublepulsar-1.3.1.exe 重新移动至其原始位置。

如何让后面DoublePulsar在Windows Embedded上顺利运行?

如此一来,由此生成的 DLL payload 将得以成功注入至目标主机当中。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 嵌入式
    +关注

    关注

    5082

    文章

    19104

    浏览量

    304810
  • 操作系统
    +关注

    关注

    37

    文章

    6801

    浏览量

    123283

原文标题:​NSA网络武器DoublePulsar升级,Windows Embedded也沦陷了

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    如何在windowsemulate不同操作系统

    一、虚拟化技术概述 虚拟化技术允许单个物理机器创建多个虚拟机,每个虚拟机都可以运行不同的操作系统。这使得我们可以Windows系统
    的头像 发表于 12-05 15:50 154次阅读

    DVEVM通过ddd运行Demo

    电子发烧友网站提供《DVEVM通过ddd运行Demo.pdf》资料免费下载
    发表于 10-15 10:05 0次下载
    <b class='flag-5'>在</b>DVEVM<b class='flag-5'>上</b>通过ddd<b class='flag-5'>运行</b>Demo

    gprsdemowindows server系统无法运行的解决办法

    gprsdemowindows server系统无法运行,请按照如下步骤设置以解决该问题。1. 按下图进入依次下面界面 2. 点击“添加”后,会弹出文件浏览对话框,找到DTU配
    发表于 07-25 06:03

    什么windows配置不好esp32c6的调试,debug模式运行不起来怎么解决?

    什么我windows配置不好esp32c6的调试,debug模式运行不起来。。
    发表于 07-22 07:09

    smartconfigESP-03运行CWSMARTSTART不工作是哪里的问题?

    我正在尝试 smartconfig ESP-03 运行。我已经从 github 存储库构建了最新的 android 应用程序。我正在使用 AT 0.50 (sdk 1.4.0)
    发表于 07-17 08:18

    YUV2演示FX3的内存运行,启动数据流时却无法正常工作,应用程序会崩溃,为什么?

    大家好,我一直尝试 YUV2 演示 FX3 的内存运行,到目前为止,我已经成功修改了 MJPEG 演示,以输出 96x96 的 YU
    发表于 05-28 08:18

    sdk中的usb-uvc演示CYUSB3014运行,USB3.0没有响应的原因?

    你好, ,我目前正试图 sdk 中的 usb-uvc 演示(USBVideoClass/UsbVideoClassBulk) CYUSB3014 运行。 我面临的问题是,它在
    发表于 05-21 06:57

    运行Windows11的系统安装KitProg编程器驱动程序时遇到的疑问求解

    我在运行 Windows 11 的系统安装 KitProg 编程器驱动程序时遇到困难。 每次尝试安装时,Windows 都无法为设备找到合适的驱动程序,如所附截图所示。 我尝试了常用
    发表于 05-21 06:35

    STM32L011在运行模式下,如何功耗达到手册的值?

    我的问题是:在运行模式下,如何功耗达到手册的值(76uA/MHz) 目前使用芯片:STM32L011 使用时钟:MSI-2M 配置外设AHB,APB时钟都已经关闭。 目前全速运行
    发表于 04-24 06:33

    成功Windows 95运行“数千款软件”的诀窍

    据分析,问题可能出在“ndphlpr”这个神秘的传统 Windows 驱动程序。虽然 Windows 98 中未被使用,但却是运行.NE
    的头像 发表于 04-16 10:15 604次阅读

    MAC M1的虚拟机上运行ARM版的windows,ST-LINK的驱动为什么装不

    MAC M1的虚拟机上运行ARM版的windows,ST-LINK的驱动装不
    发表于 04-01 08:24

    请问CX3是否可以把embedded line删除?

    ), 而此资讯会在每个Frame的一开始就送出,之后才是影像资料, 而此Camera会把这多出来的embedded line补足成1 line, Q1 : 想请问CX3是否可以把embed
    发表于 02-28 08:11

    如何CYUSBlinux闪存固件?

    不起作用。 我能知道其他支持 linux 中刷新固件的应用程序吗,或者如何 CYUSB linux 闪存固件。 发行商 ID:Ubuntu 描述:Ubuntu 22.04
    发表于 02-22 06:23

    如何Adafruit 320x240 IPS TFT显示屏PSoC运行

    我有一台 Adafruit 320x240 IPS TFT 显示屏,希望它能够使用我的 PSoC 4200 主板绘制图像。 来自 Adafruit 的代码库是为 Arduino 设计的,我不确定如何它在 PSoC 运行
    发表于 01-22 06:33

    IAR Embedded Workbench中计算多个地址区间的Checksum

    在前面的文章“使用IAR Embedded Workbench和MCU的CRC模块来检查代码的完整性”中介绍了如何在IAR Embedded Workbench中配置生成对应代码区域的CRC校验码
    的头像 发表于 01-05 12:33 1520次阅读
    <b class='flag-5'>在</b>IAR <b class='flag-5'>Embedded</b> Workbench中计算多个地址区间的Checksum