新的Lucifer DDoS僵尸网络针对具有多个漏洞的Windows系统

一个名为Lucifer的新僵尸网络出现在威胁领域,它利用将近十二种漏洞利用来入侵Windows系统。

当Lucifer出现在威胁领域时,就跟踪了一个新的僵尸网络,它利用了十二种漏洞利用程序来影响影响Windows系统的高严重性漏洞。感染系统后,僵尸程序会将其转变为加密客户端,并可以使用它发起分布式拒绝服务(DDoS)攻击。

该恶意软件作者将其称为Satan DDoS机器人,但Palo Alto Network的Unit42研究人员将其称为Lucifer,因为还有另一种同名恶意软件Satan Ransomware。

“ 2020年5月29日,第42单元的研究人员从无数CVE-2019-9081利用事件中发现了一种混合加密劫持恶意软件的新变种  。” 阅读Unit42团队发布的报告。“仔细观察发现,该恶意软件被我们称为“ Lucifer”,能够进行DDoS攻击,并且具备针对易受攻击的Windows主机的各种攻击手段。”

专家发现了僵尸网络,同时调查了利用CVE-2019-9081漏洞的几次尝试,该漏洞是一个严重的RCE漏洞,会影响Laravel Web框架的组件。

Lucifer机器人的第一个变体于5月29日被发现,这是该运动的一部分,该运动于6月10日停止,并于6月11日使用该机器人的更新版本恢复。

“路西法的能力非常强大。它不仅能够丢弃XMRig来进行Monero的密码劫持,而且还能够通过利用多个漏洞和凭据蛮力来进行命令和控制(C2)操作以及自我传播。” 继续分析。“此外,它还针对易受攻击的Intranet感染目标丢弃并运行EternalBlueEternalRomanceDoublePulsar后门。”

Lucifer还可以扫描打开TCP端口135(RPC)和1433(MSSQL)的计算机,并尝试对其进行暴力破解,然后一旦进入,该僵尸程序就会通过shell命令植入自身的副本。

该僵尸程序能够删除XMRig Monero矿工,并包含一个DDoS模块,它通过利用多个漏洞并发动暴力攻击来实现自我传播机制。

该机器人利用漏洞利用了多个漏洞,包括  CVE-2014-6287,  CVE-2018-1000861,  CVE-2017-10271,  ThinkPHP RCE漏洞(CVE-2018-20062),  CVE-2018-7600,  CVE-2017-9791,  CVE-2019-9081,  PHPStudy Backdoor RCE,  CVE-2017-0144,  CVE-2017-0145和  CVE-2017-8464。 

一旦系统受到威胁,攻击者就可以在受感染的设备上执行任意命令,专家们注意到,该僵尸程序可以将Internet和Intranet上的Windows主机作为攻击目标。Unit42研究人员注意到,攻击者正在利用有效载荷中的certutil实用程序进行恶意软件传播。

该恶意软件可以使用带有以下内容的字典来发起暴力攻击:

对于暴力攻击,该恶意软件依赖于具有七个用户名的字典:“ sa”,“ SA”,“ su”,“ kisadmin”,“ SQLDebugger”,“ mssql”和“ Chred1433”以及数百个密码。

专家注意到,该僵尸程序的最新版本实现了反分析保护,以避免在虚拟化环境中执行。

在进行分析时,漫游器操作员使用的钱包仅包含0.493527 XMR(约30美元)。

“ Lucifer是加密劫持和DDoS恶意软件变种的新混合物,它利用旧漏洞在Windows平台上传播和执行恶意活动。强烈建议将更新和补丁应用于受影响的软件。” 总结报告。“易受攻击的软件包括Rejetto HTTP文件服务器,Jenkins,Oracle Weblogic,Drupal,Apache Struts,Laravel框架和Microsoft Windows。还鼓励使用强密码来防止字典攻击。”

 

*编译:Domino

*来自:securityaffairs