一个名为Lucifer的新僵尸网络出现在威胁领域,它利用将近十二种漏洞利用来入侵Windows系统。
当Lucifer出现在威胁领域时,就跟踪了一个新的僵尸网络,它利用了十二种漏洞利用程序来影响影响Windows系统的高严重性漏洞。感染系统后,僵尸程序会将其转变为加密客户端,并可以使用它发起分布式拒绝服务(DDoS)攻击。
该恶意软件作者将其称为Satan DDoS机器人,但Palo Alto Network的Unit42研究人员将其称为Lucifer,因为还有另一种同名恶意软件Satan Ransomware。
“ 2020年5月29日,第42单元的研究人员从无数CVE-2019-9081利用事件中发现了一种混合加密劫持恶意软件的新变种 。” 阅读Unit42团队发布的报告。“仔细观察发现,该恶意软件被我们称为“ Lucifer”,能够进行DDoS攻击,并且具备针对易受攻击的Windows主机的各种攻击手段。”
专家发现了僵尸网络,同时调查了利用CVE-2019-9081漏洞的几次尝试,该漏洞是一个严重的RCE漏洞,会影响Laravel Web框架的组件。
Lucifer机器人的第一个变体于5月29日被发现,这是该运动的一部分,该运动于6月10日停止,并于6月11日使用该机器人的更新版本恢复。
“路西法的能力非常强大。它不仅能够丢弃XMRig来进行Monero的密码劫持,而且还能够通过利用多个漏洞和凭据蛮力来进行命令和控制(C2)操作以及自我传播。” 继续分析。“此外,它还针对易受攻击的Intranet感染目标丢弃并运行EternalBlue,EternalRomance和DoublePulsar后门。”
Lucifer还可以扫描打开TCP端口135(RPC)和1433(MSSQL)的计算机,并尝试对其进行暴力破解,然后一旦进入,该僵尸程序就会通过shell命令植入自身的副本。
该僵尸程序能够删除XMRig Monero矿工,并包含一个DDoS模块,它通过利用多个漏洞并发动暴力攻击来实现自我传播机制。
该机器人利用漏洞利用了多个漏洞,包括 CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, ThinkPHP RCE漏洞(CVE-2018-20062), CVE-2018-7600, CVE-2017-9791, CVE-2019-9081, PHPStudy Backdoor RCE, CVE-2017-0144, CVE-2017-0145和 CVE-2017-8464。
一旦系统受到威胁,攻击者就可以在受感染的设备上执行任意命令,专家们注意到,该僵尸程序可以将Internet和Intranet上的Windows主机作为攻击目标。Unit42研究人员注意到,攻击者正在利用有效载荷中的certutil实用程序进行恶意软件传播。
该恶意软件可以使用带有以下内容的字典来发起暴力攻击:
对于暴力攻击,该恶意软件依赖于具有七个用户名的字典:“ sa”,“ SA”,“ su”,“ kisadmin”,“ SQLDebugger”,“ mssql”和“ Chred1433”以及数百个密码。
专家注意到,该僵尸程序的最新版本实现了反分析保护,以避免在虚拟化环境中执行。
在进行分析时,漫游器操作员使用的钱包仅包含0.493527 XMR(约30美元)。
“ Lucifer是加密劫持和DDoS恶意软件变种的新混合物,它利用旧漏洞在Windows平台上传播和执行恶意活动。强烈建议将更新和补丁应用于受影响的软件。” 总结报告。“易受攻击的软件包括Rejetto HTTP文件服务器,Jenkins,Oracle Weblogic,Drupal,Apache Struts,Laravel框架和Microsoft Windows。还鼓励使用强密码来防止字典攻击。”
*编译:Domino
*来自:securityaffairs