研究人員正在敦促組織加強密碼以防禦系統自發傳播的Lucifer惡意軟件

Lucifer Self-Propagating Malware

我們將要討論的自我傳播的惡意軟件應該被稱為Satan,但由於已經有一個同名勒索軟件家族,Palo Alto Networks的研究人員決定將其命名為Lucifer。惡意軟件的作者對此頗為惱火,這就是為什麼我們堅持使用新名稱。

Palo Alto Networks的Unit 42在5月下旬發現了該惡意軟件,當時它注意到Lavarel Framework中一個已知的遠程執行代碼漏洞的利用數量有所增加。經過初步調查,專家得出結論,路西法以發動分佈式拒絕服務(DDoS)攻擊的能力以及配備的大量漏洞而著稱。然而,6月11日,Lucifer的作者發布了該惡意軟件的第二個版本,並展示了其真正的潛力。

路西法能夠將加密劫持和DDoS攻擊結合在一起

當Lucifer危害企業網絡中的計算機後,它會通過發送有關主機的一些詳細信息來通知命令和控制服務器(C&C)。建立成功的感染後,C&C可以發送多個命令之一。

正如我們已經提到的,該惡意軟件在向世界展示其能夠發起DDoS攻擊的能力時首先引起了研究人員的注意。但是,當專家更仔細地檢查與C&C的通信時,他們注意到可以指示Lucifer也將XMRig放在主機上。

XMRig是一種旨在生成Monero的加密貨幣挖掘工具,加密貨幣愛好者完全合法地使用了它。然而,由於易於部署及其開源特性,它在加密劫持攻擊的興起中也發揮了關鍵作用。

去年,非法使用他人的計算機資源來生成數字硬幣的行為已取代勒索軟件,成為網絡犯罪中最多產的一種形式,XMRig參與了很大比例的攻擊。就路西法而言,XMRig礦機已經設法為其運營商帶來了價值超過3萬美元的門羅幣,這應該讓您了解為什麼它在網絡犯罪分子中如此受歡迎。

DDoS業務的收益目前尚不得而知,但是可以說,通過將Lucifer用於兩個單獨的攻擊媒介,黑客正加倍從惡意軟件中牟取暴利的機會。話雖如此,成功的加密劫持和DDoS運動依賴於大量受感染的計算機,必須說騙子也對此進行了思考。

路西法瞄準脆弱的系統

除了五月下旬利用的Lavarel Framework漏洞外,Lucifer還能夠利用Oracle,Apache和Microsoft的應用程序中的許多其他安全漏洞。

成功破壞一台計算機後,它將掃描打開的TCP端口,以嘗試查找潛在的新目標;如果確實找到了具有不安全網絡配置的設備,則它將使用默認用戶名以及一系列常用密碼來嘗試和如果啟用了服務器消息塊(SMB)協議,則可以通過EternalBlue,EternalRomance和DoublePulsar攻擊目標。這三種漏洞是在2017年洩露的,據稱是由NSA開發的。

自傳播機制,再加上在第二版惡意軟件中添加的檢測逃避技術,將路西法變成了強大的威脅。具有諷刺意味的是,整個操作取決於一些最簡單的錯誤,不幸的是,這些錯誤非常普遍。

Lucifer的漏洞利用針對廠商幾年前修補的已知漏洞。但是,顯然,目標組織不必費心應用安全更新。他們也沒有對設備的網絡配置給予足夠的重視,而且經常通過使用默認密碼或弱密碼不經意間使計算機受到威脅。

這就是為什麼像Lucifer這樣的惡意軟件家族如此成功的原因,也是為什麼專家無法屏住呼吸向用戶警告忽略安全性的危險。

June 25, 2020

發表評論