结合DDoS与挖矿劫持能力的Lucifer恶意程序来了

网络企业Palo Alto Networks的安全团队Unit 42发现一支结合挖矿劫持(cryptojacking)及分布式拒绝服务攻击(DDoS)能力的混种恶意程序,锁定Windows平台、Oracle WebLogic、Jenkins、Apache Struts的多项漏洞在网络上发动攻击。目前攻击仍在进行中。

这只恶意程序作者自称为Satan DDoS,但是为了和另一只Satan勒索软件区隔,Palo Alto研究人员于是将之命名为Lucifer。

Lucifer于6月中两度针对Windows主机的CVE-2019-9081漏洞发动DDoS攻击,并植入XMRig挖门罗币(Monero)币。经过分析,研究人员发现它具有相当复杂的能力。除了能在受害机器内进行挖矿外,还具备C&C连接、自我繁殖的能力。

为了自我复制,Lucifer会扫描主机的TCP port 135(RPC)及1433(MS SQL),然后进行密码暴力破解,或是使用EnternalBlue、EternalRomance、DoublePulsar等后门程序。在本例中,它使用certutil指令复制到其他内网Windows机器上。

一旦进入受害机器,Lucifer即会和C&C服务器创建连接,根据指令发动DoS/TCP/UDP攻击、下载XMRig、关闭系统通报或启动挖矿功能。

研究人员还发现,除了CVE-2019-9081外,Lucifer武装化(攻击)的漏洞也包括由“高”到“重大”不等的漏洞,如CVE-2014-6287、CVE-2018-1000861、CVE-2017-10271、ThinkPHP RCE漏洞(CVE-2018-20062)、CVE-2018-7600、CVE-2017-9791、PHPStudy Backdoor RCE、CVE-2017-0144、CVE-2017-0145及CVE-2017-8464。受到这些漏洞影响的软件种类繁多,不只是Windows平台,也包括Rejetto HTTP File Server、Jenkins、Oracle Weblogic、Drupal、Apache Struts、PHP框架Laravel framework。

所幸攻击者的XMR钱包内目前仅挖到0.493527个Monero币,约32美元。但是研究人员也警告Lucifer仍然在网络上流传。一旦上述漏洞遭开采,可能让攻击者在受害机器上执行任意程序代码。

研究团队还发现Lucifer第2版本。它和之前版本一样能挖矿刼持、创建C&C连接、暴力破解密码及自我繁殖增生之外,还具有反沙箱功能,即检查感染主机的用户名称及计算机名称,如果比对有符合默认的名称,就会停止运行。另外版本2还有反debugger的手段,借由发送特殊字符串来使debugger故障。

研究团队呼吁企业用户应尽早检查使用的软件平台是否已补好漏洞,也建议用户使用强密码防范字典攻击。

发表评论