新的 Lucifer DDoS 僵尸网络针对具有多种漏洞的 Windows 系统

一个名为Lucifer的新僵尸网络出现在威胁领域中,它利用十几种漏洞来入侵Windows系统。

一个名为Lucifer的新的僵尸网络出现在威胁领域中,它利用了十几种影响Windows系统的高严重性漏洞。在感染一个系统后,僵尸程序会将其转变为加密客户端,并可以使用它发起分布式拒绝服务(DDoS)攻击。
该恶意软件的作者将其称为Satan DDoS机器人,但Palo Alto Network的Unit42研究人员将其称为Lucifer,因为还有另一种同名恶意软件Satan Ransomware。

“ 2020年5月29日,第42小组的研究人员从无数CVE-2019-9081的大量野生攻击事件中发现了一种混合加密劫持恶意软件的新变种。” 42小组团队发布的报告显示,“仔细观察发现,被我们称为“ Lucifer”的恶意软件,能够进行DDoS攻击,并且具备针对易受攻击的Windows主机的各种攻击手段。”

专家在调查利用CVE-2019-9081漏洞的几次尝试的同时发现了僵尸网络,该漏洞是一个严重的RCE漏洞,会影响Laravel Web框架的组件。

Lucifer机器人的第一个变体于5月29日被发现,这是该运动的一部分,该运动于6月10日停止,并于6月11日以该机器人的更新版本恢复。

“Lucifer的能力非常强大。它不仅能够丢弃XMRig来进行Monero的密码劫持,而且还能够通过利用多个漏洞和凭据来进行命令和控制(C2)操作以及自我传播。” 继续分析,“此外,它还针对易受攻击的Intranet感染目标丢弃并运行EternalBlue,EternalRomance和DoublePulsar后门。”

Lucifer还可以扫描打开TCP端口135(RPC)和1433(MSSQL)的计算机,并尝试对其进行暴力破解,然后一旦进入,该僵尸程序就会通过shell命令植入自身的副本。

该僵尸程序能够删除XMRig Monero miner,并包含一个DDoS模块,它通过利用多个漏洞并发动暴力攻击来实现自我传播机制。

该机器人利用多个漏洞,包括CVE-2014-6287,CVE-2018-1000861, CVE-2017-10271,ThinkPHP RCE漏洞(CVE-2018-20062),CVE-2018-7600,CVE-2017-9791,CVE-2019-9081,PHPStudy Backdoor RCE,CVE-2017-0144,CVE-2017-0145和 CVE-2017-8464。

一旦系统受到威胁,攻击者就可以在受感染的设备上执行任意命令,专家们注意到,该僵尸程序可以将Internet和Intranet上的Windows主机作为攻击目标。42小组的研究人员注意到,攻击者正在利用有效载荷中的certutil实用程序进行恶意软件传播。

该恶意软件可以使用带有以下内容的字典来发起暴力攻击:
对于暴力攻击,该恶意软件依赖于具有七个用户名的字典:“ sa”,“ SA”,“ su”,“ kisadmin”,“ SQLDebugger”,“ mssql”和“ Chred1433”以及数百个密码。

专家注意到,该僵尸程序的最新版本实现了反分析保护,以避免在虚拟化环境中执行。

在进行分析时,机器人运营商使用的钱只有0.493527 XMR(约30美元)。

“ Lucifer是加密劫持和DDoS恶意软件变种的新混合物,它利用旧漏洞在Windows平台上传播和执行恶意活动。强烈建议对受影响的软件应用进行更新和修补。” 总结报告称,“易受攻击的软件包括Rejetto HTTP文件服务器,Jenkins,Oracle Weblogic,Drupal,Apache Struts,Laravel框架和Microsoft Windows。还鼓励使用强密码来防止字典攻击。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!