研究人员正在敦促组织加强密码以防御系统自发传播的Lucifer恶意软件

Lucifer Self-Propagating Malware

我们将要讨论的自我传播的恶意软件应该被称为Satan,但由于已经有一个同名勒索软件家族,Palo Alto Networks的研究人员决定将其命名为Lucifer。恶意软件的作者对此颇为恼火,这就是为什么我们坚持使用新名称。

Palo Alto Networks的Unit 42在5月下旬发现了该恶意软件,当时它注意到Lavarel Framework中一个已知的远程执行代码漏洞的利用数量有所增加。经过初步调查,专家得出结论,路西法以发动分布式拒绝服务(DDoS)攻击的能力以及配备的大量漏洞而著称。然而,6月11日,Lucifer的作者发布了该恶意软件的第二个版本,并展示了其真正的潜力。

路西法能够将加密劫持和DDoS攻击结合在一起

当Lucifer危害企业网络中的计算机后,它会通过发送有关主机的一些详细信息来通知命令和控制服务器(C&C)。建立成功的感染后,C&C可以发送多个命令之一。

正如我们已经提到的,该恶意软件在向世界展示其能够发起DDoS攻击的能力时首先引起了研究人员的注意。但是,当专家们更加仔细地检查与C&C的通信时,他们注意到可以指示Lucifer也将XMRig放在主机上。

XMRig是一种旨在生成Monero的加密货币挖掘工具,加密货币爱好者完全合法地使用了它。然而,由于易于部署及其开源特性,它在加密劫持攻击的兴起中也发挥了关键作用。

去年,非法使用他人的计算机资源来生成数字硬币的行为已取代勒索软件,成为网络犯罪中最多产的一种形式,XMRig参与了很大比例的攻击。就路西法而言,XMRig矿机已经设法为其运营商带来了价值超过3万美元的门罗币,这应该让您了解为什么它在网络犯罪分子中如此受欢迎。

DDoS业务的收益目前尚不得而知,但是可以说,通过将Lucifer用于两个单独的攻击媒介,黑客正加倍从恶意软件中牟取暴利的机会。话虽如此,成功的加密劫持和DDoS运动依赖于大量受感染的计算机,必须说骗子也对此进行了思考。

路西法瞄准脆弱的系统

除五月下旬利用的Lavarel Framework漏洞外,Lucifer还能够利用Oracle,Apache和Microsoft的应用程序中的许多其他安全漏洞。

成功破坏一台计算机后,它会扫描打开的TCP端口以尝试查找潜在的新目标,如果它确实找到了具有不安全网络配置的设备,则会使用默认用户名以及常用密码列表进行尝试和发现。如果启用了服务器消息块(SMB)协议,则可以通过EternalBlue,EternalRomance和DoublePulsar攻击目标,这三种漏洞是在2017年泄露的,据称是由NSA开发的。

自我传播机制,再加上第二版恶意软件中添加的检测逃避技术,将路西法变成了强大的威胁。具有讽刺意味的是,整个操作取决于一些最简单的错误,不幸的是,这些错误非常普遍。

Lucifer的漏洞利用针对厂商几年前修补的已知漏洞。但是,显然,目标组织不必费心应用安全更新。他们也没有对设备的网络配置给予足够的重视,而且经常通过使用默认密码或弱密码不经意间使计算机面临风险。

这就是为什么像Lucifer这样的恶意软件家族如此成功的原因,这就是为什么专家无法屏息警告用户有关忽略安全性的危险。

June 25, 2020

发表评论