如何修改 NSA 黑客工具并攻击 Windows IoT系统？

翻译：360代码卫士团队

网络昵称为 “Capt. Meelo” 的安全研究员修改了一款名为 “DoublePulsar” 的 NSA 黑客工具并使其在 Windows IoT操作系统（此前名为 Windows Embedded）运行。

原来的 DoublePulsar 是由 NSA 开发的一款黑客工具，随后被“影子经纪人”窃取并被泄露到网络。

DoublePulsar 从奔上上而言是 Ring-0 内核模式 payload，就像进入受攻陷系统的后门。DoublePulsar 在设计之初并非供独立使用，而是结合其它 NSA 工具使用。

NSA 黑客本应该使用 FuzzBunch 框架（遭影子经纪人泄露）和一个利用工具包（如“永恒之蓝”、“永恒烂漫”等）临时在某个系统站稳脚跟，然后释放 DoublePulsar 植入以获取对系统的永久访问。

RiskSense 公司的安全研究员 Sean Dillon 曾对 DoublePulsar 利用开展了深入分析。

DoublePulsar 在去年4月发布后，它适用于除 Windows 10 的所有 Windows 主流版本。

恶意软件作者马上开始检测 FuzzBunch-永恒之蓝-DoublePulsar 利用链的效果。去年超过3.6万台计算机在测试期间遭感染，不过在不到一周的时间里，这个数字增长到超过42.5万。

而且至今为止，计算机仍然遭受 DoublePulsar 的影响。由于杀毒软件经常能检测出 DoublePulsar，因此恶意软件一般都只使用“永恒之蓝”，然后部署一个自定义后门而非 DoublePulsar。

不过 Capt. Meelo 指出，只需简单编辑就能将 DoublePulsar 接管运行 Windows IoT Core OS 版本的系统。

通常运行 Windows IoT Core 的系统是智能物联网设备、终端销售售货亭或自动取款机。

让设备免于成为 DoublePulsar 僵尸网络的唯一方法是应用 MS17-010 中提供的安全更新。该安全公告包含了修复由影子经纪人去年泄露到网上的黑客工具和利用，其中就包含 DoublePulsar。

原文链接

https://www.bleepingcomputer.com/news/security/nsa-exploit-doublepulsar-patched-to-work-on-windows-iot-systems/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。