DoublePulsar ist eine Installationssoftware für Backdoor-Programme, die von der Equation Group der National Security Agency (NSA) entwickelt und von The Shadow Brokers Anfang 2017 geleakt wurde. Mehr als 200.000 Computer mit Microsoft Windows wurden innerhalb weniger Wochen damit infiziert und im Mai 2017 für EternalBlue sowie den Angriff der Ransomware WannaCry benutzt.
Sean Dillon, ein Analytiker der Sicherheitsfirma RiskSense Inc., der als erster DoublePulsar zerlegt und untersucht hatte, sagte, dass die NSA-Exploits „10-mal übler“ seien als die Sicherheitslücke Heartbleed und verwendeten DoublePulsar als primäre Nutzdaten (Payload). DoublePulsar läuft im Kernel-Modus, der Hackern im hohen Maß Kontrolle über das Computersystem erlaubt. Sobald DoublePulsar installiert ist, hat es drei Befehle: ping, kill, und exec, wobei letzteres verwendet werden kann, um Malware auf das System nachzuladen.
Einzelnachweise Bearbeiten
- Bruce Sterling: Double Pulsar NSA leaked hacks in the wild. (englisch).
- Seriously, Beware the ‘Shadow Brokers’. via www.bloomberg.com, 4. Mai 2017 (englisch).
- 25. April 2017, archiviert vom am 21. Juni 2017; abgerufen am 15. Mai 2017 (englisch).
- Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage. (englisch).
- >10,000 Windows computers may be infected by advanced NSA backdoor. (englisch).
- Dell Cameron: Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. (englisch).
- Thomas Fox-Brewster: How One Simple Trick Just Put Out That Huge Ransomware Fire. (englisch).
- Player 3 Has Entered the Game: Say Hello to ‘WannaCry’. In: blog.talosintelligence.com. Abgerufen am 15. Mai 2017 (englisch).
- DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis. In: zerosum0x0.blogspot.com. Abgerufen am 16. Mai 2017 (englisch).
- NSA’s DoublePulsar Kernel Exploit In Use Internet-Wide. In: threatpost.com. Abgerufen am 16. Mai 2017 (englisch).