Comprueba si tu equipo está infectado con DoublePulsar

Expertos en ciberseguridad han alertado de dos nuevas herramientas que la organización gubernamental americana habría utilizado con éxito para introducirse en miles de sistemas Windows de todo el mundo. Las muestras de malware DOUBLEPULSAR y ETERNALBLUE.

El investigador Dan Tether, fundador de Phobos Group, ha alertado del crecimiento del número de equipos Windows en los cuales se ha detectado la puerta trasera (backdoor) que establece Doublepulsar. Dichas herramientas han sido publicadas en la red por parte del grupo Shadow Brokers y están al alcance de cualquiera.

DoublePulsar y Eternalblue

Estas muestras de malware afectan a equipos Windows XP y posteriores, incluyendo Windows Server 2003 a 2008 y Windows 8. Una vez dentro del equipo, lo utilizarán probablemente como apoyo para difundir otras amenazas en internet, además de formar parte de campañas de Spam.

El backdoor comentado en primer lugar llega al equipo aprovechando un kit de exploit -Eternalblue- que aprovecha una vulnerabilidad ya comentada en SMB v1 o Server Message Block 1.0. Permite conseguir ejecutar código remoto en las versiones de Windows comentadas.

Ahora, cualquier máquina que no tenga parcheada la vulnerabilidad en SMB estará en peligro, al estar las herramientas de la NSA filtradas en la red.

Microsoft ya anunció un parche para dicho fallo de seguridad SMB en el boletín MS17-010, para todas las versiones del sistema operativo -Windows 10 incluído- pero, según análisis realizados por expertos, 15196 sistemas habrían sido comprometidos hasta la fecha, sobre todo en EEUU. Por su parte, la firma BinaryEdge ha reconocido más de 100000 sistemas afectados.

Como detectar DoublePulsar en nuestro equipo

Las máquinas Windows infectadas con este malware pueden identificarse inequívocamente observando la respuesta que producen al realizar un ping a su puerto 445.

Además, se ha desarrollado una herramienta gratuita en Github que nos permite ejecutar dos scripts en Python, destinadas a reconocer la vulnerabilidad en los protocolos SMB y RDP. Se puede descargar en su repositorio y se utiliza de la siguiente forma:

python detect_doublepulsar_smb.py --ip 192.168.175.128

python detect_doublepulsar_rdp.py --file ips.list --verbose --threads 1

Si tenemos una salida similar a no tendremos que preocuparnos:

No presence of DOUBLEPULSAR SMB implant / No presence of DOUBLEPULSAR RDP implant

De otro lado, se nos mostrará lo siguiente si el sistema está afectado:

DOUBLEPULSAR SMB IMPLANT DETECTED!!! / DOUBLEPULSAR RDP IMPLANT DETECTED!!!

Es importante solucionar el fallo lo más rápido posible, ya que centenares de scriptkiddies están lanzando masivamente este tipo de ataques, que para ellos no requiere de gran conocimiento en la materia y podrían dejarnos expuestos al exploit.

Conviene además recordar que los sistemas operativos que ya no cuentan con soporte mediante Windows Update, como Server 2003 o Windows XP, seguirán siendo vulnerables a este tipo de exploits en el futuro.