Skip to content

Dateilose Malware DoublePulsar: Angriff via SMB

by Daniel Lengies on Mai 4th, 2017

Dateilose Malware DoublePulsar infiziert via SMB

Aktuell kursiert eine dateilose Malware mit Namen DoublePulsar​, die – nicht zuletzt aufgrund von durch die NSA zurückgehaltenen Exploits – einfach Systeme via SMB-Protokoll auf TCP-Port 445 mit weiterem Schadcode versorgt. Es handelt sich dabei um einen sehr versteckt agierenden Malware-Downloader, der auf bereits infizierten Systemen einfach Malware nachladen kann. Die Schwachstelle und Scripte sind auf GitHub verfügbar, sodass mittlerweile auch Script-Kiddies einfachen Zugang dazu erhalten.

Prüfung auf Infektion via Webtool

Es gibt ein Web-Tool, das über die (öffentliche) IP prüft, ob Schadcode auf dem System ausgeführt wird. Nicht geprüft wird hingegen auf weiteren nachgeladenen Schadcode, da dieser sehr variabel sein kann und unterschiedlichste Angriffsvektoren bedienen kann.

Das Webtool ist erreichbar über https://www.binaryedge.io/doublepulsar.html.

Aktuelle Microsoft-Systeme sind voraussichtlich sicher

Nach Angaben von Microsoft sollte ein aktueller Patchstand vor einer Infektion schützen. Infizierte Systeme können, um das Nachladen und eine weitere Ausführung zu verhindern, neugestartet werden. Allerdings bleiben Systeme mit bereits nachgeladenem Dateischadcode natürlich befallen. Vorwiegend sind Server von der Schwachstelle betroffen, da diese meist deutlich seltener als Clients neugestartet werden.

Eine detaillierte Analyse der SMB-Backdoor findet sich hier:

https://zerosum0x0.blogspot.de/2017/04/doublepulsar-initial-smb-backdoor-ring.html

Comments are closed.