DoublePulsar

DoublePulsar ist eine Installationssoftware für Backdoor-Programme, die von der Equation Group der National Security Agency (NSA) entwickelt und von The Shadow Brokers Anfang 2017 geleakt wurde. Mehr als 200.000 Computer mit Microsoft Windows wurden innerhalb weniger Wochen damit infiziert[1][2][3][4][5] und im Mai 2017 für EternalBlue sowie den Angriff der Ransomware WannaCry benutzt.[6][7][8]

Sean Dillon, ein Analytiker der Sicherheitsfirma RiskSense Inc., der als erster DoublePulsar[9][10] zerlegt und untersucht hatte, sagte, dass die NSA-Exploits „10-mal übler“ seien als die Sicherheitslücke Heartbleed und verwendeten DoublePulsar als primäre Nutzdaten (Payload). DoublePulsar läuft im Kernel-Modus, der Hackern im hohen Maß Kontrolle über das Computersystem erlaubt. Sobald DoublePulsar installiert ist, hat es drei Befehle: ping, kill, und exec, wobei letzteres verwendet werden kann, um Malware auf das System nachzuladen.

Einzelnachweise

  1. Bruce Sterling: Double Pulsar NSA leaked hacks in the wild. Abgerufen im 1. Januar 1 (englisch). 
  2. Seriously, Beware the ‘Shadow Brokers’. via www.bloomberg.com, 4. Mai 2017; abgerufen im 1. Januar 1 (englisch). 
  3. DoublePulsar malware spreading rapidly in the wild following Shadow Brokers dump. 25. April 2017, archiviert vom Original am 21. Juni 2017; abgerufen am 15. Mai 2017 (englisch). 
  4. Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage. Abgerufen im 1. Januar 1 (englisch). 
  5. >10,000 Windows computers may be infected by advanced NSA backdoor. Abgerufen im 1. Januar 1 (englisch). 
  6. Dell Cameron: Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. Abgerufen im 1. Januar 1 (englisch). 
  7. Thomas Fox-Brewster: How One Simple Trick Just Put Out That Huge Ransomware Fire. Abgerufen im 1. Januar 1 (englisch). 
  8. Player 3 Has Entered the Game: Say Hello to ‘WannaCry’. In: blog.talosintelligence.com. Abgerufen am 15. Mai 2017 (englisch). 
  9. DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis. In: zerosum0x0.blogspot.com. Abgerufen am 16. Mai 2017 (englisch). 
  10. NSA’s DoublePulsar Kernel Exploit In Use Internet-Wide. In: threatpost.com. Abgerufen am 16. Mai 2017 (englisch).