Selvforplantende Lucifer Malware sæt mod Windows-computere

En avanceret Microsoft Windows-malware kaldet Lucifer har vist sig at inficere målcomputere ved hjælp af et meget sofistikeret funktionssæt. Det er blevet opdaget i en aktiv angrebskampagne, der indeholder en ny infektionsteknik af “bombarderende” computerværter med en masse sårbarhedsudnyttelse, indtil der opdages en svaghed. Et af de markante træk ved Lucifer-malware er, at den indeholder en selvudbredelsesmekanisme.

Lucifer Malware har en avanceret infektionsmekanisme

Sikkerhedsfællesskabet har rapporteret om en farlig ny Microsoft Windows-malware, der kaldes Lucifer. Der er foretaget en sikkerhedsanalyse af de indfangede prøver, som indikerer, at dette er en ny trussel, og den første version af den, der sendes i et liveangreb.

Den angrebsmekanisme involverer følgende af en standard multiple indtrængningstest mod måltjenester. Hackerne har konfigureret installationsinfrastrukturen til at starte et meget stort antal udnyttelser ved åbne tjenester, der findes på computernetværkene. Hvis der findes en match, vil sårbarheden blive udnyttet baseret på konfigurationsreglen, der siger, at målet er at installere Lucifer-malware.

I vid udstrækning betyder dette, at angrebene udføres automatisk. I betragtning af det faktum, at Lucifer malware inkluderer en masse avancerede funktioner og ikke er baseret på nogen af ​​de eksisterende trusler. Dette betyder, at den kriminelle gruppe sandsynligvis er meget erfaren, i øjeblikket kendes deres identitet ikke. De optagne prøver viser, at følgende sårbarheder er målrettet:

• CVE-2014-6287 — FindMacroMarker-funktionen i parserLib.pas i Rejetto HTTP-filserver (aks HFS eller HttpFileServer) 2.3x før 2.3c giver fjernangribere mulighed for at udføre vilkårlige programmer via a %00 sekvens i en søgefunktion.
• CVE-2017-10.271 — Svaghed i Oracle WebLogic Server-komponenten af ​​Oracle Fusion Middleware (underkomponent: WLS Sikkerhed). Understøttede versioner, der er berørt, er 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 og 12.2.1.2.0. Let udnyttes gjorde det muligt for ikke-godkendt angriber med netværksadgang via T3 til kompromis Oracle WebLogic Server. Succesfulde angreb af denne sårbarhed kan resultere i overtagelse af Oracle WebLogic Server. CVSS 3.0 Base score 7.5 (tilgængelighed påvirkninger). CVSS Vector: (CVSS:3.0/AF:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H).
• CVE-2018-20.062 — Et problem blev opdaget i NoneCms V1.3. ThinkPHP / bibliotek / tænke / App.php muligt for fjernangribere at udføre vilkårlig PHP-kode via fabrikerede brug af filteret parameter, som det fremgår af s = indeks / tror Request / input&foretage = phpinfo&data = 1 forespørgselsstrengen.
• CVE-2017-9791 — Stivere 1 plugin i Apache Struts 2.1.x og 2.3.x muligvis muliggør fjernudførelse af kode via en ondsindet feltværdi, der er sendt i en rå meddelelse til ActionMessage.
• CVE-2019-9081 — Illuminate-komponenten i Laravel Framework 5.7.x har en deserialiseringssårbarhed, der kan føre til ekstern udførelse af kode, hvis indholdet kan kontrolleres, relateret til __destruct-metoden i klassen PendingCommand i PendingCommand.php.
• PHPStudy – Bagdør fjernbetjening af kode — Dette Metasploit-modul kan registrere og udnytte bagdøren til PHPStudy.
• CVE-2017-0144 — SMBv1-serveren i Microsoft Windows Vista SP2; Windows Server 2008 SP2 og R2 SP1; Vinduer 7 SP1; Vinduer 8.1; Windows Server 2012 Guld og R2; Windows RT 8.1; og Windows 10 Guld, 1511, og 1607; og Windows Server 2016 tillader fjernangribere at udføre vilkårlig kode via udformede pakker, aka “Sårbarhed med Windows SMB-fjernudførelse af ekstern kode.” Denne sårbarhed er forskellig fra dem, der er beskrevet i CVE-2017-0143, CVE-2017-0145, CVE-2017-0146, og CVE-2017-0148.
• CVE-2017-0145 — SMBv1-serveren i Microsoft Windows Vista SP2; Windows Server 2008 SP2 og R2 SP1; Vinduer 7 SP1; Vinduer 8.1; Windows Server 2012 Guld og R2; Windows RT 8.1; og Windows 10 Guld, 1511, og 1607; og Windows Server 2016 tillader fjernangribere at udføre vilkårlig kode via udformede pakker, aka “Sårbarhed med Windows SMB-fjernudførelse af ekstern kode.” Denne sårbarhed er forskellig fra dem, der er beskrevet i CVE-2017-0143, CVE-2017-0144, CVE-2017-0146, og CVE-2017-0148.
• CVE-2017-8464 — Windows Shell i Microsoft Windows Server 2008 SP2 og R2 SP1, Vinduer 7 SP1, Vinduer 8, Vinduer 8.1, Windows Server 2012 Guld og R2, Windows RT 8.1, Vinduer 10 Guld, 1511, 1607, 1703, og Windows Server 2016 tillader lokale brugere eller fjernangribere at udføre vilkårlig kode via en udformet .LNK-fil, som ikke håndteres korrekt under ikonvisning i Windows Stifinder eller et andet program, der analyserer genvejsikonet. aka “Sårbarhed ved udførelse af ekstern kode ved LNK.”

Alle disse listede sårbarheder er klassificeret som enten kritisk eller høj på grund af deres indflydelse på de hostede maskiner. Lucifer malware inkluderer en sofistikeret cryptojacking-funktion i Valuta cryptocurrency, til denne dato har ofrene betalt i alt 0.493527 DVDRip hvilket udgør ca. $32 USD.

Lucifer Malware har et avanceret malware-modul

Det har vist sig, at Lucifer-malware distribueres i to forskellige versioner — differentieret af sikkerhedseksperterne som enten Version 1 og Version 2. Det fælles mellem dem er, at de ved lanceringen vil indlede en Trojan-forbindelse til en hacker-kontrolleret server, der giver controllerne mulighed for at overtage kontrollen over offerets systemer. Dette gør det muligt for de kriminelle controllere praktisk talt at have adgang til alle lagrede filer i systemet. Den faktiske adresse afkodes kun, når dette trin skal udføres. Dette beskytter mod almindelige signaturdetekteringer, som er en del af de fleste sikkerhedssoftware.

De næste trin, der er en del af motoren, inkluderer ændringer i registreringsdatabasen i Windows — de vil føre til en vedvarende installation af truslen. Malware-motoren skaber strenge for sig selv i registreringsdatabasen, hvilket vil føre til en automatisk opstart, når computeren er tændt.

Som en del af den inkluderede malware-sekvens installerer malware en farlig cryptocurrency minearbejder som udfører de typiske opgaver, der er knyttet til denne virustype. Gruvearbejdere er specifikke scripts, der kan køres af individuelle processer eller fra web-browservinduer. De sigter mod at downloade og hente en række af performance-intensive opgaver. De vigtigste hardwarekomponenter påvirkes inklusive CPU'en, harddiskplads, hukommelse, netværkshastighed og grafikkortet. For hver afsluttet og rapporteret opgave vil hackerne modtage cryptocurrency-aktiver som en belønning.

En af de vigtigste opgaver, der vil blive kørt, er at udføre en sikkerhed bypass — dette vil søge efter processer, der identificeres som sikkerhedssoftware og stoppe dem. Listen over aktuelle applikationer, der er berørt, inkluderer følgende:

Avira, COMPUTERNAVN, CWSX, VBOX, gøg, nmsdbox, sandkasse, wilbert-sc, xxxx - okse, WILBERT-SC, XPAMASTC, Kappa, XXXX-OS, sleepx-, qemu, virtuel, xpamast-sc og cuckoosandbox

Lucifer malware har også evnen til at udføre distributed denial of service-angreb som kan kontrolleres af hackerne for at udføre sabotageprocedurer.

A planlagt opgave vil også blive indført, som er en del af det samlede systemændringer muligheder. Begge versioner inkluderer avancerede funktioner, der inkluderer følgende indstillinger:

• Rydning af hændelseslogfiler som registreret af operativsystemet
• Indsamling af netværksgrænsefladeoplysninger og afsendelse af den aktuelle cryptominer-status
• Processdrab
• Initialisering af brugerdefinerede cryptocurrency relaterede parametre eller dræbning af de kørende processer
• Yderligere infektion ved hjælp af en brute-force-metode, der er beregnet til at udnytte andre tilgængelige enheder på netværket
• Konfigurationsbesparelse til en forudindstillet TEXT-fil
• Udførelse af et TCP / UDP / HTTP DoS-angreb
• Genaktiverer DoS-angrebet
• Download og eksekvering af en fil fra en kommando- og kontrolserver
• Udførelse af fjernkommandoen fra den hacker-kontrollerede server
• Deaktiverer minearbejderens statusrapporteringsfunktion
• Aktiverer gruvearbejderens statusrapporteringsfunktion
• Windows-registerværdien ændres
• Nulstilling af det aktuelle sæt og afslutning af processen med cryptocurrency miner

Vi råder alle brugere til at opdatere deres servicesoftware og produktivitetsapplikation for at afhjælpe sårbarhederne.

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig: