利用被泄NSA黑客工具入侵数千台Windows电脑

脚本小子们和网络犯罪分子据称已开始利用上周泄露的NSA黑客工具攻陷数千台易受攻击的联网Windows电脑。

上周，“影子经纪人”泄露了一系列针对Windows XP、Windows Server 2003、Windows 7和8以及Windows 2012的方程式组织Windows黑客工具。更糟糕的是，虽然微软快速为所有被利用的漏洞提供了补丁，但是使用不受支持系统以及尚未应用补丁的计算机仍然存在风险。多名研究人员几天来都在大规模扫描联网设备，发现全球数以万计Windows计算机受DoublePulsar的感染。DoublePulsar疑似NSA监控植入。来自瑞士安全公司Binary Edge的研究人员扫描后发现了超过10.7万台被DoublePulsar感染的计算机。其它研究人员共发现了7.1万台被感染设备。

DoublePulsar如何运作

DoublePulsar是一个用于在已受感染系统上注入并运行恶意代码的后门，通过EternalBlue利用代码安装。后者针对微软Windows XP到Server 2008 R2 SMB文件共享服务发动攻击。因此要攻陷设备，必须运行一个易受攻击的Windows操作系统且SMB服务暴露给攻击者。DoublePulsar和EternalBlue都疑似方程式组织的工具，目前所有脚本小子们都能下载并攻击易受攻击的计算机。

一旦安装，DoublePulsar就会通过被劫持计算机传播恶意软件、给在线用户发送垃圾信息并对其它受害者进一步发动网络攻击。为了保持静默状态，这个后门并不会在所感染计算机中写入任何文件。

受影响群体

虽然微软已经修复了受影响Windows操作系统中被利用的多数缺陷，但尚未打补丁的人员易受多个利用代码的攻击如EternalBlue、EternalChampion、EternalSynergy、Eternal Romance、EmeraldThread以及EducatedScholar。另外，仍然使用生命周期已结束的平台如Windows XP、Windows Server 2003和IIS 6.0的系统同样易受攻击。

由于黑客仅需几个小时就能下载“影子经纪人”泄露的文档、且可通过周一发布的工具扫描互联网并传播黑客利用代码，因此研究人员认为会有更多易受攻击且未修复的计算机会受DoublePulsar影响。微软发布一份声明回应称：“我们怀疑报告的真实性且正在调查中。”强烈建议尚未应用MS17-010的Windows用户尽快下载并部署补丁。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。