Como detectar computadoras infectadas con DoublePulsar exploit de la NSA

DoublePulsarDoublePulsar. En esta nota te mostramos como detectar equipos infectados con DoublePulsar en el protocolo SMB o RDP. Los investigadores de Countercept han publicado una herramienta gratuita en GitHub para que cualquiera que desee usarla. Un conjunto de scripts python2 para barrer una lista de IPs para la presencia de versiones SMB y RDP del implante DOUBLEPULSAR que fue lanzado por los Shadow Brokers.

Soporta tanto la comprobación de un solo IP como una lista de IPs en un archivo con soporte multi-threading. La versión SMB también soporta la desinstalación remota del implante para remediación, que fue ayudado por el conocimiento del mecanismo de código de operación invertido por @zerosum0x0.

Este es un lanzamiento anticipado en el interés de permitir que la gente encuentre compromisos en su red ahora que estas hazañas están en el salvaje y sin duda que se utiliza para dirigir las organizaciones. Reimplanta el comando ping del implante, que se puede utilizar de forma remota sin autenticación, para determinar si un sistema está infectado o no. Se admiten las versiones SMB y RDP del implante.

No todas las versiones del SO han sido probadas y algunas fallan actualmente. Por ejemplo, 2012 rechazará la secuencia SMB con ACCESS_DENIED. Sin embargo, este sistema no es vulnerable al exploit ETERNALBLUE y el implante DOUBLEPULSAR recibe el mismo error al intentar hacer ping a un objetivo. Por lo tanto, es posible que los errores contra determinadas versiones de Windows puedan indicar que el sistema no está comprometido.

Datos del creador:
Autor: Luke Jennings (luke.jennings@countercept.com – @jukelennings)
Compania: Countercept
Twitter: @countercept
Website: https://countercept.com

Forma de Uso

root@kali:~# python detect_doublepulsar_smb.py --ip 192.168.175.128
[-] [192.168.175.128] No presence of DOUBLEPULSAR SMB implant

root@kali:~# python detect_doublepulsar_smb.py --ip 192.168.175.128
[+] [192.168.175.128] DOUBLEPULSAR SMB IMPLANT DETECTED!!!

root@kali:~# python detect_doublepulsar_rdp.py --file ips.list --verbose --threads 1
[*] [192.168.175.141] Sending negotiation request
[*] [192.168.175.141] Server explicitly refused SSL, reconnecting
[*] [192.168.175.141] Sending non-ssl negotiation request
[*] [192.168.175.141] Sending ping packet
[-] [192.168.175.141] No presence of DOUBLEPULSAR RDP implant
[*] [192.168.175.143] Sending negotiation request
[*] [192.168.175.143] Server chose to use SSL - negotiating SSL connection
[*] [192.168.175.143] Sending SSL client data
[*] [192.168.175.143] Sending ping packet
[-] [192.168.175.143] No presence of DOUBLEPULSAR RDP implant
[*] [192.168.175.142] Sending negotiation request
[*] [192.168.175.142] Sending client data
[*] [192.168.175.142] Sending ping packet
[+] [192.168.175.142] DOUBLEPULSAR RDP IMPLANT DETECTED!!!

root@kali:~# python2 detect_doublepulsar_smb.py --ip 192.168.175.136 --uninstall
[+] [192.168.175.136] DOUBLEPULSAR SMB IMPLANT DETECTED!!! XOR Key: 0x7c3bf3c1
[+] [192.168.175.136] DOUBLEPULSAR uninstall successful

Escaneando la red

# target network (adapt this to your network)
NETWORKRANGE=192.168.33.0/24

# install the required scanning tools
brew install masscan || apt-get install masscan
git clone https://github.com/countercept/doublepulsar-detection-script.git
cd doublepulsar-detection-script

# scan open ports
masscan -p445 $NETWORKRANGE > smb.lst
masscan -p3389 $NETWORKRANGE > rdp.lst

# clean the list of IPs
sed -i "s/^.* on //" smb.lst
sed -i "s/^.* on //" rdp.lst

# check vulnerabilities on the hosts who have the service open
python detect_doublepulsar_smb.py --file smb.lst
python detect_doublepulsar_rdp.py --file rdp.lst
# Or, if you have the python netaddr library
python detect_doublepulsar_smb.py --net 192.168.0.1/24

Snort:
Este repositorio también contiene tres firmas de Snort que pueden utilizarse para detectar el uso del comando SESSION_SETUP Trans2 no implementado que utiliza la utilidad ping de SMB y diferentes casos de respuesta. Si bien no toleramos la dependencia de las firmas para la detección eficaz de ataques, debido a la facilidad con que se evitan, estas reglas son muy específicas y deben proporcionar alguna capacidad de detección contra nuevos grupos de amenaza reutilizando estas explotaciones e implantes sin modificaciones.

Más información:
https://www.countercept.com/our-thinking/analyzing-the-doublepulsar-kernel-dll-injection-technique/
https://zerosum0x0.blogspot.co.uk/2017/04/doublepulsar-initial-smb-backdoor-ring.html