如何讓后面DoublePulsar在Windows Embedded上順利運(yùn)行？

作為“影子經(jīng)紀(jì)人”從美國(guó)國(guó)家安全局（NSA）下轄方程式小組處竊取到的兩款黑客工具之一，雙脈沖星（DoublePulsar） 后門程序能夠在各類 Windows 版本之上運(yùn)行，但一直無(wú)法與 Windows Embedded 嵌入式操作系統(tǒng)順利對(duì)接。

近日，網(wǎng)名為 Capt. Meelo 的安全研究人員發(fā)現(xiàn)，只要一行簡(jiǎn)單的代碼就足以讓這個(gè)后門在 Windows Embedded 設(shè)備上正常運(yùn)行。

后門DoublePulsar

DoublePulsar 后門程序2017年4月正式公布，在短時(shí)間內(nèi)就波及25個(gè)國(guó)家及地區(qū)。當(dāng)時(shí)安恒研究院對(duì)全球開放SMB端口的主機(jī)進(jìn)行探測(cè)分析發(fā)現(xiàn)，全球范圍內(nèi)檢測(cè)發(fā)現(xiàn)被入侵植入DoublePulsar后門的主機(jī)94，613個(gè)，其中檢測(cè)到美國(guó)被植入后門主機(jī)數(shù)量為58，072， 占全球數(shù)量的61%， 中國(guó)被植入后門主機(jī)數(shù)量為20，655，占全球數(shù)量的22%。

DoublePulsar 用于在已感染的系統(tǒng)上注入和運(yùn)行惡意代碼，是 NSA 用作監(jiān)聽使用的一種復(fù)雜的多架構(gòu) SMB（服務(wù)器消息塊）后門程序，能夠在受感染機(jī)器上很好地掩藏自身行跡。該后門在 NSA 的 FuzzBunch 軟件（類似于 Rapid7 的 Metasploit 漏洞利用框架）中得到使用。

顯然，會(huì)受到攻擊影響的計(jì)算機(jī)系統(tǒng)是存在漏洞的Windows版本，因?yàn)檫@給攻擊者提供了其 SMB 端口。一旦后門被植入，攻擊者就就可以毫無(wú)阻礙的向目標(biāo)機(jī)器植入dll 或者 shellcode，植入的任意程序或者代碼將以系統(tǒng)最高權(quán)限運(yùn)行，導(dǎo)致系統(tǒng)被完全控制。

此前：后門無(wú)法與Windows Embedded對(duì)接

網(wǎng)名為 Capt. Meelo 的安全研究人員表示，實(shí)際上 Windows Embedded 操作系統(tǒng)本身也容易受到 NSA 相關(guān)攻擊活動(dòng)的影響。

這名研究人員發(fā)現(xiàn)，Windows Embedded 確實(shí)極易受到攻擊，但與漏洞利用相關(guān)的 Metasploit 模塊在該平臺(tái)上無(wú)法正常起效。而在嘗試 FuzzBunch 之后，他證明了導(dǎo)致目標(biāo)設(shè)備受到入侵的根源確實(shí)是“永恒之藍(lán)”。盡管對(duì)“永恒之藍(lán)”模塊的利用獲得成功，但 DoublePulsar 卻始終無(wú)法成功安裝。

這位研究人員繼續(xù)對(duì)該植入物進(jìn)行分析后發(fā)現(xiàn)，只要一行簡(jiǎn)單的代碼就足以使其在 Windows Embedded 上順利運(yùn)行。

如何讓該后門在Windows Embedded 上順利運(yùn)行？

后門 DoublePulsar 在設(shè)計(jì)層面會(huì)對(duì)目標(biāo)計(jì)算機(jī)上的 Windows 版本進(jìn)行檢查，并在 Windows 7 或者其它迭代版本上獲取安裝路徑。然而，這項(xiàng)檢查在 Windows Embedded 當(dāng)中無(wú)法實(shí)現(xiàn)，因此會(huì)生成一條錯(cuò)誤信息。

通過(guò)簡(jiǎn)單修改“Windows 7 OS Check”中的指令，這位研究人員得以強(qiáng)迫該植入物選用特定的安裝路徑。

研究人員 Capt·Meelo 解釋稱：

“為了完成上述目標(biāo)，我采取的操作為編輯-》補(bǔ)丁程序-》變更字節(jié)。而后，我將其中的值74（JZ操作碼）更改為75（JNZ操作碼）。

接下來(lái)，我通過(guò)文件-》生成文件-》創(chuàng)建 DIF 文件，創(chuàng)建出一個(gè) DIF 文件。”

而利用一份來(lái)自網(wǎng)友兼安全愛(ài)好者 StalkR 提供的腳本，他隨后修復(fù)了這個(gè)遭到修改的 .exe 文件，并將修改后的 Doublepulsar-1.3.1.exe 重新移動(dòng)至其原始位置。

如此一來(lái)，由此生成的 DLL payload 將得以成功注入至目標(biāo)主機(jī)當(dāng)中。