DoublePulsar: Cách Kiểm Tra, Khắc Phục và Phòng Chống Mã Độc Nguy Hiểm

Mã độc DOUBLEPULSAR, một công cụ khai thác của NSA bị rò rỉ bởi Shadow Brokers vào tháng 3 năm 2017, đã nhanh chóng trở thành mối đe dọa toàn cầu. Chỉ trong vòng một tuần sau khi phát tán, nó đã lây nhiễm cho hơn 30.000 máy tính trên khắp thế giới. Bài viết này sẽ cung cấp cho bạn những thông tin chi tiết về cách kiểm tra, khắc phục và phòng chống mã độc DOUBLEPULSAR, giúp bạn bảo vệ hệ thống của mình một cách hiệu quả nhất.

DOUBLEPULSAR là gì và nó nguy hiểm như thế nào? Mã độc này mở ra một “cửa hậu” (backdoor) trên máy tính bị nhiễm, cho phép kẻ tấn công kết nối và điều khiển hệ thống từ xa. Nó có thể sử dụng các giao thức RDP (Remote Desktop Protocol) hoặc SMB (Server Message Block) để thiết lập kết nối.

Các hành động mà DOUBLEPULSAR có thể thực hiện bao gồm:

  • Kiểm tra sự tồn tại của chính nó trên hệ thống.
  • “Tiêm” một thư viện DLL (Dynamic Link Library) vào một tiến trình đang chạy và thực thi các hàm được chỉ định.
  • Thực thi shellcode (mã lệnh) do kẻ tấn công cung cấp.
  • Gỡ cài đặt chính nó khỏi hệ thống.

Với khả năng xâm nhập và kiểm soát hệ thống từ xa, DOUBLEPULSAR có thể được sử dụng để đánh cắp dữ liệu, cài đặt phần mềm độc hại khác, hoặc thậm chí phá hoại toàn bộ hệ thống. Đặc biệt, Việt Nam là một trong những quốc gia chịu ảnh hưởng nặng nề bởi mã độc này, do đó việc kiểm tra và phòng ngừa là vô cùng quan trọng.

Hướng Dẫn Kiểm Tra Hệ Thống Có Bị Nhiễm DOUBLEPULSAR

Dưới đây là một số công cụ và phương pháp bạn có thể sử dụng để kiểm tra xem máy tính của mình có bị nhiễm DOUBLEPULSAR hay không, dựa trên phản hồi kết nối SMB và RDP.

1. Sử dụng Công Cụ NMAP

NMAP là một công cụ quét mạng mạnh mẽ, có thể được sử dụng để phát hiện các lỗ hổng bảo mật và các dịch vụ đang chạy trên hệ thống.

Các bước thực hiện:

  1. Tải công cụ NMAP: Truy cập trang web chính thức của NMAP để tải phiên bản phù hợp với hệ điều hành của bạn.

  2. Cài đặt công cụ: Thực hiện theo hướng dẫn cài đặt đi kèm với gói tải xuống.

  3. Thực thi lệnh quét: Mở cửa sổ dòng lệnh (Command Prompt hoặc Terminal) và nhập lệnh sau:

    nmap -p 445 --script smb-double-pulsar-backdoor <địa chỉ IP mục tiêu>

    Thay thế <địa chỉ IP mục tiêu> bằng địa chỉ IP của máy tính bạn muốn kiểm tra.

    Alt: Kết quả quét NMAP cho thấy máy tính mục tiêu có nguy cơ bị nhiễm mã độc DoublePulsar thông qua backdoor SMB, cần kiểm tra và khắc phục ngay.

    Nếu kết quả trả về cho thấy VULNERABLE: Double Pulsar SMB Backdoor, điều này có nghĩa là máy tính của bạn đã bị nhiễm DOUBLEPULSAR thông qua giao thức SMB.

2. Sử dụng doublepulsar-detection-script (Python2)

Đây là một tập hợp các script Python2 được thiết kế đặc biệt để phát hiện DOUBLEPULSAR.

Các bước thực hiện:

  1. Tải script từ GitHub: Sử dụng lệnh git clone để tải bộ script về máy tính của bạn. (Bạn cần cài đặt Git trước khi thực hiện bước này).

    git clone https://github.com/countercept/doublepulsar-detection-script.git

  2. Kiểm tra kết nối SMB: Di chuyển đến thư mục chứa script và thực thi lệnh sau để quét một địa chỉ IP cụ thể:

    python2 detect_doublepulsar_smb.py -ip <địa chỉ IP mục tiêu>

    Hoặc, để quét một danh sách các địa chỉ IP từ một tập tin:

    python2 detect_doublepulsar_smb.py -file <tên tập tin chứa danh sách IP>

    Nếu kết quả trả về DOUBLEPULSAR SMB IMPLANT DETECTED!!!, máy tính của bạn đã bị nhiễm DOUBLEPULSAR qua SMB.

  3. Kiểm tra kết nối RDP: Sử dụng script detect_doublepulsar_rdp.py để kiểm tra kết nối RDP. Ví dụ, để quét một danh sách địa chỉ IP:

    python2 detect_doublepulsar_rdp.py -file <tên tập tin chứa danh sách IP> -verbose -threads 1

    Nếu kết quả trả về DOUBLEPULSAR RDP IMPLANT DETECTED!!!, máy tính của bạn đã bị nhiễm DOUBLEPULSAR qua RDP.

    Alt: Kết quả quét Doublepulsar RDP Implant cho thấy một số địa chỉ IP trong dải mạng bị nhiễm mã độc DoublePulsar, trong khi các địa chỉ khác thì không.

3. Sử dụng Công Cụ smb-double-pulsar-backdoor (NMAP Script)

Đây là một script NMAP chuyên dụng để kiểm tra xem máy tính có đang chạy backdoor DoublePulsar SMB hay không.

Thực thi lệnh sau:

nmap -p 445 -script=smb-double-pulsar-backdoor <địa chỉ IP mục tiêu>

Nếu máy tính mục tiêu đang chạy backdoor DoublePulsar SMB, kết quả trả về sẽ tương tự như sau:

| smb-double-pulsar-backdoor:
|   VULNERABLE:
|   Double Pulsar SMB Backdoor
|     State: VULNERABLE
|     Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C/I:C/A:C)
|     The Double Pulsar SMB backdoor was detected running on the remote machine.

Hướng Dẫn Khắc Phục và Phòng Chống DOUBLEPULSAR

Sau khi xác định được máy tính bị nhiễm DOUBLEPULSAR, bạn cần thực hiện các biện pháp khắc phục và phòng chống để bảo vệ hệ thống.

1. Khắc Phục

  1. Tải bản vá lỗi: Truy cập trang web của Microsoft để tải xuống bản vá bảo mật cho lỗ hổng EternalBlue (MS17-010), lỗ hổng mà DOUBLEPULSAR khai thác.
  2. Cài đặt bản vá lỗi: Thực hiện theo hướng dẫn cài đặt đi kèm với bản vá.
  3. Kiểm tra lại: Sau khi cài đặt bản vá, hãy sử dụng lại các công cụ kiểm tra ở trên để đảm bảo rằng máy tính của bạn không còn bị nhiễm DOUBLEPULSAR.

2. Phòng Chống

  • Vá lỗ hổng bảo mật: Cập nhật bản vá bảo mật mới nhất cho hệ điều hành Windows, đặc biệt là lỗ hổng EternalBlue (MS17-010).

  • Sao lưu dữ liệu thường xuyên: Tạo bản sao lưu dữ liệu quan trọng của bạn và lưu trữ chúng ở một vị trí an toàn, ngoài hệ thống chính.

  • Cẩn trọng với các liên kết lạ: Tránh nhấp vào các liên kết hoặc tải xuống các tập tin từ các nguồn không đáng tin cậy.

  • Sử dụng phần mềm diệt virus: Cài đặt và cập nhật thường xuyên phần mềm diệt virus trên máy tính và thiết bị di động của bạn. Ưu tiên các phần mềm có khả năng phát hiện và loại bỏ mã độc mã hóa dữ liệu.

    Alt: Cài đặt và sử dụng phần mềm diệt virus là một biện pháp phòng ngừa hiệu quả để bảo vệ máy tính khỏi các loại mã độc, bao gồm cả DoublePulsar.

  • Sử dụng tường lửa (Firewall): Bật và cấu hình tường lửa để ngăn chặn các kết nối trái phép đến và đi từ máy tính của bạn.

Lời khuyên: Hãy tạo thói quen sao lưu dữ liệu quan trọng thường xuyên và lưu trữ chúng ở một nơi an toàn. Điều này sẽ giúp bạn phục hồi dữ liệu nhanh chóng trong trường hợp hệ thống bị tấn công bởi mã độc. Ngoài ra, việc sử dụng các dịch vụ sao lưu đám mây (Cloud) cũng là một lựa chọn tiện lợi và an toàn.

Kết Luận

DOUBLEPULSAR là một loại mã độc nguy hiểm có thể gây ra những thiệt hại nghiêm trọng cho hệ thống của bạn. Bằng cách thực hiện các biện pháp kiểm tra, khắc phục và phòng chống được nêu trong bài viết này, bạn có thể giảm thiểu nguy cơ bị nhiễm DOUBLEPULSAR và bảo vệ dữ liệu của mình một cách hiệu quả nhất. Hãy luôn cảnh giác và cập nhật kiến thức về an ninh mạng để đối phó với các mối đe dọa ngày càng tinh vi.