NSA针对Windows Embedded设备DoublePulsar漏洞利用代码

NSA相关的DoublePulsar漏洞利用现在可以针对Windows Embedded设备。

DoublePulsar漏洞利用已于2017年4月由ShadowBrockers黑客公开发布，据称这些黑客将他们从NSA偷走。

黑客泄露黑客工具，并利用美国情报机构所使用的代码一个巨大的宝库，大多数Windows漏洞进行了处理由微软前一个月。

DoublePulsar是复杂的中小企业后门，可以让攻击者控制受感染的系统，因为它泄露的信息几乎可以在任何Windows系统上运行，除了运行Windows Embedded操作系统的设备上。

当天的新闻是，一名安全研究人员使用Capt。Meelo的名字在线使用了在线运行Windows Embedded操作系统的设备上开发的DoublePulsar漏洞代码版本。

专家们发现，即使运行Windows Embedded操作系统的设备容易受到攻击，相关的Metasploit模块也无法工作。

为了证实这一假设，研究人员使用了NSA FuzzBunch 漏洞利用代码，并发现目标设备通过EternalBlue 漏洞确实很脆弱 。

“然后我很快使用了EternalBlue模块，结果很成功 - 后门已成功安装在目标上。所以我猜想MSF漏洞模块的作者只是忘了添加对Windows Embedded版本的支持。“ 专家在一篇博客文章中写道。

“由于已经安装了后门程序，为完成开发并获得一个shell而需要做的最后一件事就是使用 DoublePulsar。”

总结专家能够利用针对目标设备的EternalBlue攻击，但DoublePulsar后门的部署失败，因此研究人员决定分析种植体以发现原因。

他发现，一行简单的代码就足以让它在Windows Embedded上运行。

DoublePulsar旨在检查目标计算机上的Windows版本，并在其他平台迭代上在Windows 7或其他操作系统上执行其他操作系统检查。但是，没有检查Windows Embedded，它生成了一条错误消息。

通过简单地修改“Windows 7操作系统检查”中的指令，研究人员就能够强制植入物采取特定的安装路径。

“要做到这一点，我去了编辑>补丁程序>更改字节。然后我将值74（JZ的操作码）更改为75（JNZ的操作码）。然后，我通过File> Produce file> Create DIF file创建了一个DIF文件，“Capt。Meelo解释说。

专家使用https://stalkr.net/files/ida/idadif.py 来修补修改后的exe文件。然后将修改后的Doublepulsar-1.3.1.exe移回原始位置。

这个技巧允许他将生成的DLL有效载荷注入目标主机。