DoublePulsar detektáló eszköz, immár távoli uninstall képességgel

A Shadow Brokers által kidumpolt NSA hacking eszközök és exploitok közt volt megtalálható a DoublePulsar SMB és RDP "implantátum", ami állítólag már több mit 55 ezer Windows gépen detektálható.

A Countercept elérhetővé tett egy DoublePulsar detektáló és eltávolító eszközt a GitHub-on. A segítségével szkennelhető egy gép vagy akár egy egész hálózat is.

Hozzászólások

Egy gyors futtatás eredménye.
Az IP cím létezik és be van a gép kapcsolva!


python detect_doublepulsar_smb.py --ip 192.168.111.222
Traceback (most recent call last):
  File "detect_doublepulsar_smb.py", line 155, in <module>
    check_ip(ip)
  File "detect_doublepulsar_smb.py", line 108, in check_ip
    final_response = s.recv(1024)
socket.error: [Errno 10054] A létező kapcsolatot a távoli állomás kényszerítetten bezárta

Ha Linuxos gép IP-címét adom meg akkor ez az üzenet:

[-] [192.168.111.221] No presence of DOUBLEPULSAR SMB implant
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox