新的 Lucifer DDoS 僵尸网络针对具有多种漏洞的 Windows 系统

一个名为Lucifer的新的僵尸网络出现在威胁领域中，它利用了十几种高严重性漏洞来影响Windows系统。在感染一个系统后，僵尸程序会将其转变为加密客户端，并可以使用它发起分布式拒绝服务（DDoS）攻击。
该恶意软件的作者将其称为Satan DDoS机器人，但Palo Alto Network的Unit42研究人员将其称为Lucifer，因为还有另一种同名恶意软件Satan Ransomware。

“ 2020年5月29日，第42小组的研究人员从无数CVE-2019-9081的大量野生攻击事件中发现了一种混合加密劫持恶意软件的新变种。” 42小组团队发布的报告显示，“仔细观察发现，被我们称为“ Lucifer”的恶意软件，能够进行DDoS攻击，并且具备针对易受攻击的Windows主机的各种攻击手段。”

专家在调查利用CVE-2019-9081漏洞的几次尝试的同时发现了僵尸网络，该漏洞是一个严重的RCE漏洞，会影响Laravel Web框架的组件。

Lucifer机器人的第一个变体于5月29日被发现，这是该运动的一部分，该运动于6月10日停止，并于6月11日以该机器人的更新版本恢复。

“Lucifer的能力非常强大。它不仅能够丢弃XMRig来进行Monero的密码劫持，而且还能够通过利用多个漏洞和凭据来进行命令和控制（C2）操作以及自我传播。” 继续分析,“此外，它还针对易受攻击的Intranet感染目标丢弃并运行EternalBlue，EternalRomance和DoublePulsar后门。”

Lucifer还可以扫描打开TCP端口135（RPC）和1433（MSSQL）的计算机，并尝试对其进行暴力破解，然后一旦进入，该僵尸程序就会通过shell命令植入自身的副本。

该僵尸程序能够删除XMRig Monero miner，并包含一个DDoS模块，它通过利用多个漏洞并发动暴力攻击来实现自我传播机制。

该机器人利用多个漏洞，包括CVE-2014-6287，CVE-2018-1000861， CVE-2017-10271，ThinkPHP RCE漏洞（CVE-2018-20062），CVE-2018-7600，CVE-2017-9791，CVE-2019-9081，PHPStudy Backdoor RCE，CVE-2017-0144，CVE-2017-0145和 CVE-2017-8464。

一旦系统受到威胁，攻击者就可以在受感染的设备上执行任意命令，专家们注意到，该僵尸程序可以将Internet和Intranet上的Windows主机作为攻击目标。42小组的研究人员注意到，攻击者正在利用有效载荷中的certutil实用程序进行恶意软件传播。

该恶意软件可以使用带有以下内容的字典来发起暴力攻击：
对于暴力攻击，该恶意软件依赖于具有七个用户名的字典：“ sa”，“ SA”，“ su”，“ kisadmin”，“ SQLDebugger”，“ mssql”和“ Chred1433”以及数百个密码。

专家注意到，该僵尸程序的最新版本实现了反分析保护，以避免在虚拟化环境中执行。

在进行分析时，机器人运营商使用的钱只有0.493527 XMR（约30美元）。

“ Lucifer是加密劫持和DDoS恶意软件变种的新混合物，它利用旧漏洞在Windows平台上传播和执行恶意活动。强烈建议对受影响的软件应用进行更新和修补。” 总结报告称，“易受攻击的软件包括Rejetto HTTP文件服务器，Jenkins，Oracle Weblogic，Drupal，Apache Struts，Laravel框架和Microsoft Windows。还鼓励使用强密码来防止字典攻击。”