DoublePulsar检测脚本:专业网络安全扫描工具详解
【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script
项目概述
DoublePulsar检测脚本是一款专业的网络安全扫描工具,专门用于识别系统中是否存在NSA开发的DoublePulsar后门程序。这个由Countercept开发的开源项目采用智能网络探测技术,帮助安全人员快速发现潜在威胁。
DoublePulsar是NSA利用的著名后门程序,曾在2017年的"永恒之蓝"勒索软件攻击中广泛传播。该脚本通过发送特定的RPC请求并分析响应数据包,能够准确判断目标系统是否被DoublePulsar感染。
核心功能特性
双重协议支持
该工具支持两种协议的检测:
- SMB协议检测:通过端口445进行SMB版本DoublePulsar的识别
- RDP协议检测:通过端口3389进行RDP版本DoublePulsar的检测
智能扫描机制
脚本实现了DoublePulsar的ping命令功能,该功能可以在无需身份验证的情况下远程使用,以确定系统是否受到感染。这种设计使得扫描过程既高效又隐蔽。
使用指南
单IP检测
对于单个目标系统的快速检查,可以使用以下命令格式:
python detect_doublepulsar_smb.py --ip 192.168.175.128 python detect_doublepulsar_rdp.py --ip 192.168.175.128批量网络扫描
对于大规模网络环境,支持文件列表和网络CIDR格式的批量扫描:
# 使用IP列表文件进行扫描 python detect_doublepulsar_smb.py --file ips.list --threads 10 python detect_doublepulsar_rdp.py --file ips.list --verbose --threads 1 # 使用网络范围进行扫描 python detect_doublepulsar_smb.py --net 192.168.0.1/24完整网络扫描流程
要全面扫描您的网络,建议采用以下步骤:
# 定义目标网络范围 NETWORKRANGE=192.168.33.0/24 # 安装必要的扫描工具 brew install masscan || apt-get install masscan # 扫描开放端口 masscan -p445 $NETWORKRANGE > smb.lst masscan -p3389 $NETWORKRANGE > rdp.lst # 清理IP列表 sed -i "s/^.* on //" smb.lst sed -i "s/^.* on //" rdp.lst # 检查具有开放服务的主机的漏洞 python detect_doublepulsar_smb.py --file smb.lst python detect_doublepulsar_rdp.py --file rdp.lst技术特点
高级检测算法
脚本采用精确的签名匹配机制,通过分析响应数据包中的特定字节序列来识别DoublePulsar感染。对于SMB版本,当接收到0x51响应时即确认感染,并能进一步识别系统架构和XOR密钥。
多线程支持
通过线程池技术实现并发扫描,显著提高大规模网络环境下的检测效率。用户可以根据需要调整线程数量,平衡扫描速度与系统资源消耗。
安全防护能力
威胁清除功能
除了检测功能外,SMB版本的脚本还支持远程卸载DoublePulsar植入程序,为系统修复提供直接支持。
Snort规则集成
项目还包含了三个Snort签名,可用于检测SMB ping工具使用的未实现的SESSION_SETUP Trans2命令以及不同的响应情况。虽然我们不赞成依赖签名进行有效的攻击检测,但由于它们容易被绕过,这些规则具有高度特异性,应该能够提供针对新威胁组织重用这些漏洞和植入程序而无需修改的检测能力。
适用场景
企业安全审计
企业可以将此工具集成到自动化运维流程中,定期检查网络基础设施,防止未知的DoublePulsar感染。
应急响应处理
在遭遇勒索软件或其他与DoublePulsar相关的安全事件时,安全团队可以快速确定受影响的系统范围。
安全研究实践
对于安全研究人员,这是一个了解恶意软件检测技术并进行深入学习的实践工具。
优势总结
- 高效性能- 轻量级设计,扫描速度极快
- 精准识别- 基于特征匹配,误报率极低
- 灵活配置- 支持自定义扫描参数和范围
- 持续更新- 开源社区维护,紧跟安全威胁发展
快速开始
要开始使用DoublePulsar检测脚本,首先克隆项目仓库:
git clone https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script cd doublepulsar-detection-script然后根据您的需求选择合适的检测命令。建议初次使用时先对单个IP进行测试,熟悉工具的输出格式和检测逻辑。
立即体验这款强大的网络安全扫描工具,为您的系统建立坚实的安全防线!
【免费下载链接】doublepulsar-detection-scriptA python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.项目地址: https://gitcode.com/gh_mirrors/do/doublepulsar-detection-script
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
)
