NSA针对Windows Embedded设备DoublePulsar漏洞利用代码

  • A+
所属分类:网络安全新闻

NSA相关的DoublePulsar漏洞利用现在可以针对Windows Embedded设备。

NSA针对Windows Embedded设备DoublePulsar漏洞利用代码
DoublePulsar漏洞利用已于2017年4月由ShadowBrockers黑客公开发布,据称这些黑客将他们从NSA偷走。

黑客泄露黑客工具,并利用美国情报机构所使用的代码一个巨大的宝库,大多数Windows漏洞进行了处理由微软前一个月。

DoublePulsar是复杂的中小企业后门,可以让攻击者控制受感染的系统,因为它泄露的信息几乎可以在任何Windows系统上运行,除了运行Windows Embedded操作系统的设备上。

当天的新闻是,一名安全研究人员使用Capt。Meelo的名字在线使用了在线运行Windows Embedded操作系统的设备上开发的DoublePulsar漏洞代码版本。

专家们发现,即使运行Windows Embedded操作系统的设备容易受到攻击,相关的Metasploit模块也无法工作。

为了证实这一假设,研究人员使用了NSA FuzzBunch 漏洞利用代码,并发现目标设备通过EternalBlue 漏洞确实很脆弱 。

“然后我很快使用了EternalBlue模块,结果很成功 - 后门已成功安装在目标上。所以我猜想MSF漏洞模块的作者只是忘了添加对Windows Embedded版本的支持。“ 专家在一篇博客文章中写道。

“由于已经安装了后门程序,为完成开发并获得一个shell而需要做的最后一件事就是使用 DoublePulsar。”

总结专家能够利用针对目标设备的EternalBlue攻击,但DoublePulsar后门的部署失败,因此研究人员决定分析种植体以发现原因。

他发现,一行简单的代码就足以让它在Windows Embedded上运行。

DoublePulsar旨在检查目标计算机上的Windows版本,并在其他平台迭代上在Windows 7或其他操作系统上执行其他操作系统检查。但是,没有检查Windows Embedded,它生成了一条错误消息。

通过简单地修改“Windows 7操作系统检查”中的指令,研究人员就能够强制植入物采取特定的安装路径。

“要做到这一点,我去了编辑>补丁程序>更改字节。然后我将值74(JZ的操作码)更改为75(JNZ的操作码)。然后,我通过File> Produce file> Create DIF file创建了一个DIF文件,“Capt。Meelo解释说。

专家使用https://stalkr.net/files/ida/idadif.py 来修补修改后的exe文件。然后将修改后的Doublepulsar-1.3.1.exe移回原始位置。

这个技巧允许他将生成的DLL有效载荷注入目标主机。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: