双脉冲星(DoublePulsar)检测脚本使用指南
项目介绍
该项目是一个Python 2脚本集合,专门用于扫描网络以发现受DOUBLEPULSAR恶意软件感染的Windows系统。DOUBLEPULSAR是一种著名的后门程序,利用了MS17-010漏洞在系统间传播。该工具由Countercept团队的Luke Jennings开发并维护,其目标是帮助网络安全专业人员快速识别出被该恶意软件侵害的主机。
项目快速启动
环境准备
确保你的环境已安装Python 2及必要的库。推荐使用最新且兼容的版本。同时,你需要安装masscan
来执行端口扫描。
安装步骤:
-
安装所需工具:
# 对于macOS brew install masscan # 对于Debian/Ubuntu系Linux sudo apt-get install masscan
-
获取项目源码:
git clone https://github.com/WithSecureLabs/doublepulsar-detection-script.git cd doublepulsar-detection-script
-
执行网络扫描:
- 扫描SMB服务端口:
masscan -p445 $NETWORKRANGE > smb.lst
- 扫描RDP服务端口:
masscan -p3389 $NETWORKRANGE > rdp.lst
其中
$NETWORKRANGE
应替换为你想要扫描的网络范围,例如192.168.1.0/24
。 - 扫描SMB服务端口:
-
运行检测脚本:
- 针对SMB列表:
python detect_doublepulsar_smb.py --file smb.lst
- 若你有
netaddr
库,也可以按CIDR指定网段扫描:python detect_doublepulsar_smb.py --net 192.168.0.1/24
- 针对SMB列表:
应用案例和最佳实践
应用案例
当怀疑网络内部存在由DOUBLEPULSAR植入的潜在威胁时,该脚本可用于迅速定位受感染主机。通过自动化扫描大量IP地址,安全团队可以快速响应,隔离并分析疑似受侵害的系统。
最佳实践
- 在进行大规模扫描前,最好先在测试环境中验证脚本的兼容性和效果。
- 了解你的网络边界和正常的服务端口状态,以便更精确地设定扫描范围,减少误报。
- 结合入侵检测系统(如Snort规则)和日志审计,以进行全方位的安全监控。
典型生态项目
虽然直接与DOUBLEPULSAR检测相关的特定生态项目不多提及,但此类工具常常配合安全自动化框架、SIEM系统(安全信息和事件管理)以及漏洞管理平台一起使用。例如,将检测结果导入到Splunk或Elasticsearch中,用于长期的数据分析和威胁追踪。此外,结合Nessus等漏洞扫描器进行定期的安全评估,可以帮助维持一个健康且安全的网络环境。
以上就是关于如何使用doublepulsar-detection-script
的基本指南。通过遵循这些步骤,你可以有效地保护你的网络免受DOUBLEPULSAR之类的恶意软件侵害。