2. EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication

1. Nhận diện

a. Trên giao diện giám sát SOC

b. Trên giao diện Kibana

2. Mô tả

DoublePulsar là một mã độc Backdoor được rò rỉ từ vụ The Shadow Brokers. Sau khi lây nhiễm vào máy nạn nhân, mã độc sẽ tạo ra một kết nối tới máy chủ điều khiển từ xa sử dụng một hoặc các giao thức sau:

3. Các thông tin cần thu thập

Xác định IP nguồn và IP đích của cảnh báo

Xác định nội dung payload được gửi đi trên giao diện Kibana bằng cú pháp lệnh
agent.name: [tên sensor] AND srcip: [IP nguồn] AND dstip: [IP đích] AND ips.msg: "ET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication"

Ví dụ

agent.name: sensor-xxx AND srcip: x.x.x.x AND dstip: x.x.x.x AND ips.msg: "ET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication"

Lấy nội dung trường payload (ips.payload) trong thông tin cảnh báo

Giải mã nội dung mã hóa bằng decode base64 thông qua việc sử dụng website decode online (https://www.base64decode.org) hoặc tool decode base64

4. Kiểm tra và xử lý

a. Kiểm tra

Sau khi xác định được các địa chỉ IP bị nghi nhiễm mã độc backdoor DoublePulsar, tiến hành kiểm tra máy tính có đang chạy backdoor DoublePulsar SMB không bằng công cụ Nmap với câu lệnh như sau:

nmap -p 445 <target> --script=smb-double-pulsar-backdoor

Trong đó:

<target>: là IP của máy bị nghi nhiễm mã độc backdoor DoublePulsar

Lưu ý: cần tải payload hỗ trợ kiểm tra của Nmap từ link: https://nmap.org/nsedoc/scripts/smb-double-pulsar-backdoor.html

Nếu máy tính mục tiêu đang chạy backdoor DoublePulsar SMB, kết quả trả về sẽ như hình dưới đây:

b. Xử lý

Sau khi phát hiện chính xác IP bị nhiễm mã độc backdoor DoublePulsar, tiến hành xử lý theo các bước như sau:

Bước 1: Kiểm tra các tiến trình độc hại trên máy

Sử dụng công cụ Process Explorer chạy dưới quyền admin để kiểm tra các tiến trình trong máy.
Link tải: https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Bật các tính năng sau:
- Options :arrow_right: Verify Image Signatures
- Options :arrow_right: VirusTotal.com :arrow_right: Check VirusTotal.com
Kiểm tra các trường Verified Signer, và Virus Total ở bên phải. Nếu cột Verified Signer có thông báo “No Signature was …” và ở cột virus Total có thông báo mức độ không tin cậy từ 10 trở lên thì xác định đó có thể là tiến trình bị nhiễm mã độc

Kích chuột phải vào tiến trình bị nhiễm mã độc, chọn Properties. Kiểm tra và ghi nhận toàn bộ thông tin các trường Path, Command line, Current directory, Autostart Location
Bước 2: Gỡ bỏ tiến trình độc hại
Sau khi đã xác định, thực hiện kill các tiến trình độc hại bằng cách:
- Click chuột phải vào tên tiến trình đang chạy, chọn Kill Process Tree
- Đợi khoảng 5-10s để đảm bảo tiến trình đã bị kill và không hoạt động trở lại.
- Thực hiện việc này với tất cả các tiến trình độc được tìm thấy
Nhấn tổ hợp phím Windows+R :arrow_right: gõ services.msc. Tiến hành stop hoặc disabled toàn bộ các service liên quan đến tiến trình độc hại
Cũng có thể chạy cmd dưới quyền administrator chạy lệnh để xóa service với lệnh sau:
sc delete <tên service>

Trong trường hợp tiến trình độc hại hoặc các service độc hại tự động khởi động lại, tiến hành restart máy tính, chạy máy tính ở chế độ Safe Mode và thực hiện lại các bước từ Bước 1
Bước 3: Xóa bỏ các tệp tin độc hại
Để hiện toàn bộ các tệp tin và thư mục trong máy tính
Thực hiện xóa bỏ toàn bộ các tệp tin mã độc đã xác định ở Bước 2
Trong trường hợp cần phân tích và điều tra thêm, thực hiện cô lập các file mã độc này trước :arrow_right: copy lấy mẫu :arrow_right: tiến hành xóa các tệp tin độc hại
Kiểm tra và xóa bỏ toàn bộ các add-ons độc hại đính kèm vào trình duyệt
Nhấn tổ hợp phím Windows+R :arrow_right: gõ regedit. Kiểm tra và gỡ bỏ toàn bộ các tham số registry liên quan đến mã độc

Bước 4: Cập nhật bản vá

Thực hiện download bản vá MS17-010 cho HĐH đang dùng tại link: https://support.microsoft.com/vi-vn/help/4023262/how-to-verify-that-ms17-010-is-installed
Sau khi bấm vào nút “Download” một cửa sổ mới xuất hiện, ta click vào để tải bản vá về máy
Tiến hành chạy file cài đặt vừa tải về và đợi sau khi cài đặt thành công máy sẽ yêu cầu restart lại để bản vá được cập nhật trên HĐH
Sau đó truy cập vào Control Panel :arrow_right: Programs :arrow_right: Programs and Features :arrow_right: Installed Updates: Ta kiểm tra đã có bản vá được cài đặt.

Các phiên bản Hệ điều hành khác ta tiến hành cài đặt vá lỗi tương tự

5. Sơ đồ xử lý

Previous1. POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted Next3. CURRENT_EVENTS Jembot PHP Webshell (hell.php)

Last updated 7 years ago