从Shadow Brokers泄露到实际应用DOUBLEPULSAR检测脚本的演进与发展【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-scriptDOUBLEPULSAR检测脚本是一款由Countercept开发的Python工具集专为扫描网络中是否存在Shadow Brokers泄露的DOUBLEPULSAR植入物而设计。该工具支持SMB和RDP两种协议版本的检测可通过单IP检查、IP列表批量扫描以及网络CIDR范围扫描等多种方式帮助安全人员快速识别受感染的Windows系统。 什么是DOUBLEPULSAR植入物2017年黑客组织Shadow Brokers公开泄露了一系列NSA开发的网络攻击工具其中就包括著名的ETERNALBLUE漏洞利用程序和DOUBLEPULSAR后门植入物。DOUBLEPULSAR作为一种内核级DLL注入工具能够在目标系统上建立持久化后门为攻击者提供远程控制能力。该植入物通过未授权访问方式工作主要利用SMB445端口和RDP3389端口协议进行通信。由于其隐蔽性强、传播速度快曾造成全球范围内的大规模感染事件如WannaCry勒索病毒。️ 检测脚本核心功能解析DOUBLEPULSAR检测脚本包含两个主要工具1. SMB协议检测工具detect_doublepulsar_smb.py该工具通过模拟SMB协议交互来检测目标系统是否感染DOUBLEPULSAR植入物。其核心原理是发送特定构造的SMB请求包然后分析响应特征无认证检测无需登录凭证即可远程检测架构识别自动识别植入物的32位/64位架构XOR密钥计算提取并计算植入物的加密密钥一键卸载支持远程清除已检测到的植入物2. RDP协议检测工具detect_doublepulsar_rdp.py针对RDP协议的检测工具通过分析RDP协商过程中的异常响应来识别感染SSL与非SSL连接支持自动处理不同RDP配置多线程扫描支持批量IP地址并行检测详细日志输出记录检测过程中的关键步骤 快速上手从安装到扫描环境准备检测脚本基于Python 2开发无需额外依赖库即可运行。推荐在Kali Linux或其他安全测试发行版中使用# 克隆仓库 git clone https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script cd doublepulsar-detection-script基本使用方法单IP检测SMB植入物python detect_doublepulsar_smb.py --ip 192.168.175.128批量检测RDP植入物python detect_doublepulsar_rdp.py --file ips.list --verbose --threads 10网络范围扫描# 需要安装netaddr库 python detect_doublepulsar_smb.py --net 192.168.0.1/24检测并卸载植入物python2 detect_doublepulsar_smb.py --ip 192.168.175.136 --uninstall高级网络扫描方案结合masscan工具进行全网端口扫描快速定位潜在受感染主机# 扫描网络中的SMB和RDP开放端口 masscan -p445 192.168.33.0/24 smb.lst masscan -p3389 192.168.33.0/24 rdp.lst # 清理IP列表 sed -i s/^.* on // smb.lst sed -i s/^.* on // rdp.lst # 批量检测漏洞 python detect_doublepulsar_smb.py --file smb.lst python detect_doublepulsar_rdp.py --file rdp.lst 入侵检测Snort规则应用项目提供了三条专门用于检测DOUBLEPULSAR活动的Snort规则可集成到现有入侵检测系统中# 检测SMB植入物请求特征 alert tcp any any - $HOME_NET 445 (msg:DOUBLEPULSAR SMB implant - Unimplemented Trans2 Session Setup Subcommand Request; flow:to_server, established; content:|FF|SMB|32|; depth:5; offset:4; content:|0E 00|; distance:56; within:2; sid:1618009; classtype:attempted-user; rev:1;) # 检测植入物响应特征 alert tcp $HOME_NET 445 - any any (msg:DOUBLEPULSAR SMB implant - Unimplemented Trans2 Session Setup Subcommand - 81 Response; flow:to_client, established; content:|FF|SMB|32|; depth:5; offset:4; content:|51 00|; distance:25; within:2; sid:1618008; classtype:attempted-user; rev:1;)这些规则通过监控SMB协议中的异常Trans2 Session Setup子命令能够有效识别未经过修改的DOUBLEPULSAR植入物活动。⚠️ 注意事项与局限性操作系统兼容性部分Windows版本如Server 2012可能会返回ACCESS_DENIED错误这并不一定表示感染需结合其他线索判断Python版本要求脚本基于Python 2开发不兼容Python 3环境网络环境影响防火墙和入侵防御系统可能会拦截检测流量导致误判签名易绕过依赖签名的检测方法可能被高级攻击者绕过建议结合行为分析和内存取证等多种检测手段 深入学习资源技术分析Analyzing the DOUBLEPULSAR Kernel DLL Injection Technique协议逆向DoublePulsar: Initial SMB Backdoor Ring 0 Analysis通过这些资源安全从业人员可以深入了解DOUBLEPULSAR的工作原理提升检测和防御能力。 项目演进与未来发展自2017年发布以来DOUBLEPULSAR检测脚本持续为全球安全社区提供价值。随着技术的发展该工具也在不断改进增加对新型变体的检测能力优化扫描性能和准确性完善日志记录和报告功能对于现代安全团队而言定期使用此类工具进行网络扫描仍是防范已知威胁的重要手段之一。 总结DOUBLEPULSAR检测脚本作为应对Shadow Brokers泄露工具的重要防御手段展示了开源社区在网络安全应急响应中的关键作用。通过理解其工作原理和正确应用这些工具组织可以显著提升对高级持续性威胁的检测能力有效保护关键信息资产。在当今复杂多变的网络安全环境中及时更新检测工具、定期进行安全扫描、持续关注最新威胁情报是构建健全防御体系的基础。【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考