安全研究人員認為，世界各地的腳本小子和在線犯罪分子正在利用Shadow Brokers 黑客組織上周泄露的NSA黑客工具，致使全球數十萬臺Windows計算機正面臨網絡攻擊威脅。

上周，被稱為“Shadow Brokers”的神秘黑客組織泄露了一套據稱是屬于NSA“方程組”的黑客工具，這些工具主要針對Windows XP、Windows Server 2003、Windows 7、8以及Windows 2012等系統。

更糟的是，雖然Microsoft通過發布針對所有漏洞的更新程序，迅速緩解了安全隱患，但那些不受支持的系統以及尚未安裝補丁的系統仍然存在著巨大的風險。

在一次互聯網掃描結果中顯示，全球有超過107,000臺計算機上檢測到感染了DoublePulsar惡意軟件。據悉，此次掃描活動由總部位于瑞士的安全公司Binary Edge的研究人員進行。而Errata Security首席執行官Rob Graham進行的單獨掃描，檢測到大約41,000臺感染設備，另外一名來自Below0day的研究人員檢測到超過30,000臺感染機器，其中大部分位于美國，其次為英國、中國臺灣、韓國、德國以及日本等。

在過去24小時內，感染設備的掃描結果從3萬至6萬臺的結果不一，一種新的理論出現：盲目模仿者黑客可能下載了Shadow Brokers發布的DoublePulsar二進制文件，然后使用它來感染未打補丁的Windows計算機。

?【一個掃描互聯網尋找受DoublePulsar感染的設備的腳本，左側為檢測到已經安裝了后門的IP列表；右側是用于手動檢查機器是否受感染的ping】

影響

DoublePulsar（雙星脈沖）是整個工具包中的一個重要滲透攻擊插件，用于在已受感染的系統上注入和運行惡意代碼，并使用針對Microsoft Windows XP – Server 2008 R2系統上的SMB文件共享服務的EternalBlue漏洞利用進行安裝。

SMB服務是Windows系統上運行的最常用協議之一，利用這類漏洞非常容易且成功率高，遠程攻擊者無需經過任何身份認證，只需向開放了SMB服務的機器發送特制報文即可在目標系統上執行任意命令。

漏洞攻擊成功后，它負責把木馬控制端以dll的形式注入到被攻擊的系統里，為了保持隱身，該后門程序不會將任何文件寫入其感染的設備中，防止在受感染的設備重新啟動后持續存在。

雖然微軟已經修補了受影響的Windows操作系統中的大部分被利用的漏洞，但是那些沒有打補丁的漏洞依然很容易受到EternalBlue、EternalSampion、EternalSynergy、EternalRomance、EmeraldThread以及EducatedScholar等漏洞的攻擊。

再次附上Windows安全更新地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010

此外，仍然在使用例如Windows XP、Windows Server 2003以及IIS 6.0這類停止提供安全更新服務的系統的用戶也很容易遭受此類攻擊影響，建議盡快將系統升級到服務期內的版本并及時安裝可用的補丁。

微軟發言人在隨后的一份聲明中稱，懷疑報道的準確性，并強烈建議現在尚未應用MS17-010的Windows用戶盡快下載并部署補丁。

目前網絡犯罪組織、企業間諜甚至國家支持的黑客組織都有可能利用這一工具進行非法入侵，使用 Windows 系統的企業或個人最好不要存有僥幸心理。

免費doublepulsar檢測工具：https://github.com/countercept/doublepulsar-detection-script?