如何让后面DoublePulsar在Windows Embedded上顺利运行？.doc

《如何让后面DoublePulsar在Windows Embedded上顺利运行？.doc》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、如何让后面DoublePulsar在WindowsEmbedded上顺利运行？　　作为“影子经纪人”从美国国家安全局（NSA）下辖方程式小组处窃取到的两款黑客工具之一，双脉冲星（DoublePulsar）后门程序能够在各类Windows版本之上运行，但一直无法与WindowsEmbedded嵌入式操作系统顺利对接。　　近日，网名为Capt.Meelo的安全研究人员发现，只要一行简单的代码就足以让这个后门在WindowsEmbedded设备上正常运行。　　后门DoublePulsar　　DoublePulsar后门程序2017年

2、4月正式公布，在短时间内就波及25个国家及地区。当时安恒研究院对全球开放SMB端口的主机进行探测分析发现，全球范围内检测发现被入侵植入DoublePulsar后门的主机94，613个，其中检测到美国被植入后门主机数量为58，072，占全球数量的61%，中国被植入后门主机数量为20，655，占全球数量的22%。　　DoublePulsar用于在已感染的系统上注入和运行恶意代码，是NSA用作监听使用的一种复杂的多架构SMB（服务器消息块）后门程序，能够在受感染机器上很好地掩藏自身行迹。该后门在NSA的FuzzBunch软件（类似于

3、Rapid7的Metasploit漏洞利用框架）中得到使用。　　显然，会受到攻击影响的计算机系统是存在漏洞的Windows版本，因为这给攻击者提供了其SMB端口。一旦后门被植入，攻击者就就可以毫无阻碍的向目标机器植入dll或者shellcode，植入的任意程序或者代码将以系统最高权限运行，导致系统被完全控制。　　此前：后门无法与WindowsEmbedded对接　　网名为Capt.Meelo的安全研究人员表示，实际上WindowsEmbedded操作系统本身也容易受到NSA相关攻击活动的影响。　　这名研究人员发现，Window

4、sEmbedded确实极易受到攻击，但与漏洞利用相关的Metasploit模块在该平台上无法正常起效。而在尝试FuzzBunch之后，他证明了导致目标设备受到入侵的根源确实是“永恒之蓝”。尽管对“永恒之蓝”模块的利用获得成功，但DoublePulsar却始终无法成功安装。　　　　这位研究人员继续对该植入物进行分析后发现，只要一行简单的代码就足以使其在WindowsEmbedded上顺利运行。　　如何让该后门在WindowsEmbedded上顺利运行？　　后门DoublePulsar在设计层面会对目标计算机上的Windows版本

5、进行检查，并在Windows7或者其它迭代版本上获取安装路径。然而，这项检查在WindowsEmbedded当中无法实现，因此会生成一条错误信息。　　通过简单修改“Windows7OSCheck”中的指令，这位研究人员得以强迫该植入物选用特定的安装路径。　　研究人员Capt·Meelo解释称：　　“为了完成上述目标，我采取的操作为编辑-》补丁程序-》变更字节。而后，我将其中的值74（JZ操作码）更改为75（JNZ操作码）。　　　　接下来，我通过文件-》生成文件-》创建DIF文件，创建出一个DIF文件。”　　　　　　而利用一份来

6、自网友兼安全爱好者StalkR提供的脚本，他随后修复了这个遭到修改的.exe文件，并将修改后的Doublepulsar-1.3.1.exe重新移动至其原始位置。　　　　如此一来，由此生成的DLLpayload将得以成功注入至目标主机当中。