混合恶意软件 “Lucifer” 可发起分布式拒绝服务（DDoS）攻击

Palo Alto Networks报告称，最近发现的一种加密劫持恶意软件包括使运营商能够发起分布式拒绝服务（DDoS）攻击的功能。

恶意软件Lucifer5月29日首次被发现，6月11日升级了版本。该威胁旨在丢弃XMRig以挖掘Monero，它可以通过针对各种漏洞自行传播，能够执行命令和控制（C＆C）操作，并在易受攻击的目标上将EternalBlue，EternalRomance和DoublePulsar后门丢弃并运行在Intranet上感染。

Palifer Alto Networks的安全研究人员指出，Lucifer针对一长串严重的和高严重性漏洞，这些漏洞来自Rejetto HTTP File Server，Jenkins，Oracle Weblogic，Drupal，Apache Struts，Laravel和Windows等软件。

目标安全漏洞为CVE-2014-6287，CVE-2018-1000861，CVE-2017-10271，CVE-2018-20062，CVE-2018-7600，CVE-2017-9791，CVE-2019-9081，PHPStudy后门RCE，CVE-2017-0144，CVE-2017-0145和CVE-2017-8464。

成功利用这些错误使攻击者能够在目标计算机上执行代码。尽管解决这些问题的软件更新已经发布了一段时间，但许多系统仍未打补丁并受到攻击。

该恶意软件包含三个资源部分，每个资源部分都包含一个用于特定目的的二进制文件：XMRig 5.5.0的x86和x64 UPX压缩版本，以及Equation Group漏洞（EternalBlue和EternalRomance，以及DoublePulsar后门植入）。

一旦感染了计算机，Lucifer就会通过设置特定的注册表项值来获得持久性。该恶意软件启用了调试特权，并通过启动多个线程开始运行。

为了进行传播，恶意软件扫描开放的TCP端口135（RPC）和1433（MSSQL），并尝试通过尝试使用常用的凭据来获取访问权限，使用Equation Group漏洞利用程序或使用HTTP请求来探测外部公开的系统。传递到已识别的易受攻击的系统的有效负载会通过certutil获取恶意软件的副本。

在所有工作线程被启动后，恶意软件进入一个无限循环来处理C&C操作。基于从服务器接收的命令，它可以启动TCP/UDP/HTTP DoS攻击，下载和执行文件，执行命令，启用/禁用矿机的状态报告功能，启用与矿机相关的标志，或重置标志并终止矿机。

基于10001端口的地层协议用于加密机器人与其挖掘服务器之间的通信。

该恶意软件的升级版与其以前的版本具有相同的功能和行为，但还具有防沙箱功能，可根据预定义的列表检查受感染主机的用户名和计算机名称，以及是否存在特定设备驱动程序，DLL和虚拟设备，如果找到匹配项，则暂停操作。它还包括反调试器功能。

Lucifer是加密劫持和DDoS恶意软件的新混合物，它利用旧漏洞在Windows平台上传播和执行恶意活动。强烈建议将更新和补丁应用于受影响的软件。