DoublePulsar
DoublePulsar ist eine Installationssoftware für Backdoor-Programme, die von der Equation Group der National Security Agency (NSA) entwickelt und von The Shadow Brokers Anfang 2017 geleakt wurde. Mehr als 200.000 Computer mit Microsoft Windows waren innerhalb weniger Wochen davon infiziert worden,[1][2][3][4][5] und für EternalBlue im Mai 2017, sowie der Angriffs der Ransomware WannaCry benutzt worden.[6][7][8]
Sean Dillon, ein Analytiker der Sicherheitsfirma RiskSense Inc., der als erster DoublePulsar[9][10] zerlegt und untersucht hatte, sagte, dass die NSA-Exploits „10-mal übler“ seien als die Sicherheitslücke Heartbleed und verwendeten DoublePulsar als primäre Nutzdaten (Payload). DoublePulsar läuft im Kernel-Modus, der Hackern im hohen Maß Kontrolle über das Computersystem erlaubt. Sobald DoublePulsar installiert ist, hat es drei Befehle: ping, kill, und exec, wobei letzteres verwendet werden kann, um Malware auf das System nachzuladen.
Einzelnachweise
- Bruce Sterling: Double Pulsar NSA leaked hacks in the wild.
- Seriously, Beware the ‘Shadow Brokers’. 4. Mai 2017.
- DoublePulsar malware spreading rapidly in the wild following Shadow Brokers dump. 25. April 2017.
- Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage.
- >10,000 Windows computers may be infected by advanced NSA backdoor.
- Dell Cameron: Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It.
- Thomas Fox-Brewster: How One Simple Trick Just Put Out That Huge Ransomware Fire.
- Player 3 Has Entered the Game: Say Hello to ‘WannaCry’. In: blog.talosintelligence.com. Abgerufen am 15. Mai 2017.
- DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis. In: zerosum0x0.blogspot.com. Abgerufen am 16. Mai 2017.
- NSA’s DoublePulsar Kernel Exploit In Use Internet-Wide. In: threatpost.com. Abgerufen am 16. Mai 2017.