DoublePulsar是NSA利用的著名后门程序,曾在2017年的"永恒之蓝"勒索软件攻击中广泛传播。这款由Countercept开发的开源检测脚本,能帮助系统管理员和安全研究人员快速检测系统是否受到DoublePulsar感染。
【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script
项目概述
doublepulsar-detection-script是一套Python脚本工具,专门用于扫描网络中是否存在SMB和RDP版本的DoublePulsar植入程序。该工具实现了植入程序的ping命令功能,无需身份验证即可远程检测系统是否被感染。
核心功能特性
双重协议支持
脚本支持检测SMB(端口445)和RDP(端口3389)两种协议版本的DoublePulsar后门。每种协议都有专门的检测脚本,确保全面覆盖潜在的感染途径。
智能扫描机制
通过发送特定的RPC请求并分析响应数据包,脚本能够准确识别DoublePulsar的特征标志。这种基于网络层的行为分析大大降低了误报率。
高效批量处理
支持单IP检测和批量IP列表扫描,并提供多线程支持,能够快速完成大规模网络环境的安全检查。
安装与配置
环境要求
- Python 2.x 环境
- 网络连接权限
- 目标系统访问权限
获取项目
git clone https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script cd doublepulsar-detection-script使用教程
单IP检测
对于单个目标系统的快速检测:
# 检测SMB版本后门 python detect_doublepulsar_smb.py --ip 192.168.1.100 # 检测RDP版本后门 python detect_doublepulsar_rdp.py --ip 192.168.1.100批量网络扫描
对于整个网络范围的全面检测:
# 扫描开放端口 masscan -p445 192.168.33.0/24 > smb.lst masscan -p3389 192.168.33.0/24 > rdp.lst # 清理IP列表 sed -i "s/^.* on //" smb.lst sed -i "s/^.* on //" rdp.lst # 执行安全检测 python detect_doublepulsar_smb.py --file smb.lst python detect_doublepulsar_rdp.py --file rdp.lst高级参数配置
脚本提供多种可选参数以满足不同场景需求:
--timeout:设置连接超时时间--verbose:启用详细输出模式--threads:配置并发线程数量--uninstall:发现后门时自动卸载
检测结果解读
阳性结果
当检测到DoublePulsar后门时,脚本会显示:
[+] [192.168.175.128] DOUBLEPULSAR SMB IMPLANT DETECTED!!!阴性结果
未检测到后门时显示:
[-] [192.168.175.128] No presence of DOUBLEPULSAR SMB implant实际应用场景
企业安全审计
企业可以定期运行此脚本进行网络基础设施检查,建立常态化的安全监控机制,及时发现潜在的DoublePulsar感染。
应急响应处理
在遭遇勒索软件或其他与DoublePulsar相关的安全事件时,安全团队可以快速定位受影响的系统范围,为后续的应急处置提供准确依据。
安全研究学习
对于网络安全研究人员,这是一个深入了解DoublePulsar后门行为特征和实践检测技术的优秀工具。
技术优势
跨平台兼容性
基于Python开发,支持Windows、Linux、macOS等主流操作系统,具有良好的环境适应性。
轻量级设计
无需复杂的依赖环境,仅需基础的Python运行环境即可正常工作,部署简单快捷。
高度可定制性
支持灵活调整扫描参数,包括IP范围、端口设置、超时时间等,满足不同网络环境下的检测需求。
安全防护建议
- 定期扫描:建议每月至少执行一次全网扫描,及时发现潜在威胁
- 纵深防御:将此工具纳入多层次安全防护体系,与其他安全产品协同工作
- 及时响应:一旦检测到阳性结果,立即启动应急响应流程
注意事项
- 某些Windows操作系统版本可能无法正常检测,这与系统本身的SMB序列处理机制相关
- 检测过程中可能遇到连接超时或拒绝访问的情况,这通常表明系统未受感染
- 使用卸载功能时需谨慎,确保在授权范围内操作
DoublePulsar检测脚本为网络安全提供了一道重要防线。无论你是个人用户还是企业团队,都应该将这个高效工具纳入日常安全防护体系,为系统安全保驾护航。
【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
