Главная » Блоги Экспертов И ИТ-Компаний » Существует утилита для тестирования компьютера на наличие программ-шпионов NSA

Существует утилита для тестирования компьютера на наличие программ-шпионов NSA

Скрипт, который обнаруживает встроенный код, показал, что около 100 000 систем по всему миру могут оказаться инфицированными

Был ли ваш компьютер заражен подозрительным шпионским имплантатом Национального Агентства Безопасности? Исследователь безопасности придумал бесплатную утилиту, которая поможет определить это.

Люк Дженнингс из компании Countercept написал скрипт в ответ на громкую утечку кибервооружений, которые, по мнению некоторых исследователей, принадлежат Агентству национальной безопасности США. Утилита предназначена для обнаружения имплантата под названием Doublepulsar, который поставляется со множеством эксплойтов для системы Windows, и может использоваться для загрузки других вредоносных программ.

Скрипт, который требует навыков программирования, доступен для загрузки на GitHub.

Некоторые исследователи в сфере безопасности использовали скрипт Дженнингса для сканирования интернета на предмет обнаружения машин, зараженных имплантатом. Полученные результаты были довольно разнообразными и варьировали от 30000 до 100000 компьютеров с загруженным кодом.

Компания Below0Day, занимающаяся тестированием на предмет проникновения, опубликовала твиты с изображениями, отображающими, какие страны были затронуты больше всего. США лидирует, насчитывая 11000 зараженных машин.

Несколько других стран, включая Великобританию, Тайвань и Германию, имеют более 1500 зараженных компьютеров.

Неясно, когда эти компьютеры были заражены, сказал Дженнингс. Тем не менее, подозрительные эксплойты NSA, которые распространяют Doublepulsar, были похищены неделю назад, и с этого момента любой человек с некоторыми навыками взлома мог начать их использовать.

Эксперты по безопасности обеспокоены тем, что киберпреступники или иностранные правительства могут воспользоваться похищенными эксплойтами и атаковать уязвимые компьютеры через Интернет. Они утверждают, что компьютеры с более старыми или не обновленными системами Windows подвергаются особому риску. Перезагрузка системы приведет к удалению имплантата, но не обязательно к удалению связанного с ним вредоносного ПО.

Дженнингс сказал, что он разработал свой скрипт, проанализировав, как имплантат Doublepulsar обменивался информацией через Интернет со своим сервером управления. Однако первоначальное намерение разработчика состояло в том, чтобы помочь компаниям идентифицировать имплантат в своих сетях, а вовсе не сканировать весь интернет в его поисках.

«В Twitter ведется много дискуссий, — сказал он. «Люди задаются вопросом о том, может ли скрипт оказаться неточным, поскольку количество зараженных систем поражает».

«Тем не менее, никто не представил доказательств того, что скрипт является неправильным», — сказал Дженнингс.

«Вероятно, существует определенная группа или даже несколько, использующие похищенные эксплойты для компрометации уязвимых машин», — сказал он.

Старые системы Windows Server, особенно работающие без брандмауэра, легко взломать с помощью эксплойтов. Похоже, что тысячи таких машин по всему Интернету были скомпрометированы.

Дэн Тентлер (Dan Tentler), генеральный директор компании Phobos Group, работающей в сфере обеспечения безопасности, изучает точность скрипта. Он уже проверил вручную 50 машин, которые были помечены как зараженные, и все 50 из них действительно оказались зараженными.

«Обычно, если скрипт неточен, и вы проверяете такое количество компьютеров, то ожидается обнаружить хотя бы несколько погрешностей», — сказал он. «Но я их не обнаружил».

Исследователям в сфере безопасности потребуется больше времени, чтобы проверить точность результатов обнаружения Doublepulsar. Но Тентлер рекомендует системным операторам принять меры для предотвращения заражения недавно похищенными вредоносными программами.

Он говорит, что пользователям следует установить все доступные патчи для своей системы Windows. Предыдущие исправления от Microsoft помогут устранить опасность, но старые операционные системы, такие как Windows XP и Windows Server 2003, больше не получают поддержки от компании.

Пользователи могут рассмотреть возможность обновления системы до новой ОС. Они также могут использовать антивирусные продукты, такие как Защитник Windows, чтобы помочь искоренить вредоносное ПО.

There’s now a tool to test for NSA spyware


© editor for Царев Евгений, 2017. | Permalink | No comment

Feed enhanced by Better Feed from Ozh



Источник: http://feedproxy.google.com/~r/tsarev/KWeJ/~3/NpSat1KUz0A/


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
4 месяца назад | тэги: Информационная безопасность
Комментарии
Другие публикации
RU,
http://www.tsarev.biz/, Эксперт по информационной безопасности
---

В 2007 году закончил Томский государственный Университет Систем Управления и Радиоэлектроники по специальности «Защищенные системы связи».

В 2011 году получил степень MBA “Инновационный и проектный менеджмент” в Академии народного хозяйства при Правительстве РФ.

Профессионально занимается развитием направления информационной безопасности в российских интеграторах и вендорах.

Аудитор и тренер СТО БР ИББС, Ведущий аудитор и тренер ISO 27001 Автор ряда курсов по информационной безопасности. Автор более 10 исследований, 50 статей и 300 публикаций и комментариев в СМИ по информационной безопасности.


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>