安全公司Below0day發現網路上已有556萬台PC開啟TCP 445,如果這些PC尚未下載微軟上周釋出的SMB漏洞修補程式,即可能有被攻擊的風險,進一步分析顯示可能已有超過3萬台PC被感染NSA攻擊工具DoublePulsar。
本月中影子掮客公佈疑似NSA的Windows平台攻擊程式文件,上周安全公司發現已有超過3萬台PC被植入名為DoublePulsar的竊聽工具,而台灣受害台數名列全球第3。
兩周前釋出的NSA攻擊程式有許多是鎖定用於Windows PC間檔案共享的Server Message Block (SMB)協定或網路芳鄰,包括ETERNALBLUE、ETERNALCHAMPION、ETERNALSYNERGY、ETERNALROMANCE、EMERALDTHREAD等。如果連網PC開啟SMB協定使用的傳輸埠,就可能遭這些NSA植入一種惡意程式下載器(downloader),這些下載器可再導入可執行程式或其他惡意軟體。其中有一項下載器DoublePulsar已經被發現開始蔓延。
安全公司Below0day透過網路掃瞄,發現網路上已有556萬台PC的TCP 445開啟。要是這些PC沒有下載微軟上周釋出針對SMB漏洞的修補程式,即可能被植入上述的攻擊程式或惡意程式下載器。
安全公司再進行這些PC掃瞄,並根據其SMB連線反應判斷約有30,625台PC已感染了DoublePulsar。
以被感染的PC所在國家來看,其中美國以11078台居冠,第二名為英國的2421台。台灣則以2323台名列第三。
3萬多台聽起來數量不多,但如果考量到影子掮客的資料光是下載就要好幾小時,得再掃瞄整個網際網路,再以現在暗黑界知名的駭客工具套件Fuzzbunch來散佈DoublePulsar,就會訝異它被利用的速度如此之快,而且可以預期會有更多未修補的電腦將淪為受害者。
本文轉載自iThome
原文出處:超過3萬台PC被植入NSA攻擊工具DoublePulsar,台灣受害數量名列第3
中華民國自由通訊傳播協會 