Selbstverbreitende Luzifer-Malware gegen Windows-Computer

Es wurde festgestellt, dass eine fortschrittliche Microsoft Windows-Malware namens Lucifer Zielcomputer mithilfe hochentwickelter Funktionen infiziert. Es wurde in einer aktiven Angriffskampagne entdeckt, die eine neuartige Infektionstechnik von enthält “Bombardierung” Computerhosts mit vielen Sicherheitslücken werden ausgenutzt, bis eine Schwachstelle erkannt wird. Eines der besonderen Merkmale der Lucifer-Malware ist, dass sie einen Selbstverbreitungsmechanismus enthält.

Die Lucifer Malware verfügt über einen erweiterten Infektionsmechanismus

Die Sicherheitsgemeinschaft hat eine gefährliche neue Microsoft Windows-Malware gemeldet, die aufgerufen wird Luzifer. Es wurde eine Sicherheitsanalyse der erfassten Proben durchgeführt, aus der hervorgeht, dass es sich um eine neue Bedrohung handelt und die erste Version davon, die bei einem Live-Angriff gesendet wird.

Die Angriffsmechanismus beinhaltet das Befolgen eines Standardtests mit mehreren Eindringlingen gegen Zieldienste. Die Hacker haben die Bereitstellungsinfrastruktur so konfiguriert, dass eine sehr große Anzahl von Exploits bei offenen Diensten in den Computernetzwerken gestartet wird. Wenn eine Übereinstimmung gefunden wird, wird die Sicherheitsanfälligkeit basierend auf der Konfigurationsregel ausgenutzt, die besagt, dass das Ziel darin besteht, die Lucifer-Malware zu installieren.

Dies bedeutet weitgehend, dass die Angriffe automatisch ausgeführt werden. Angesichts der Tatsache, dass die Lucifer-Malware viele erweiterte Funktionen enthält und nicht auf einer der vorhandenen Bedrohungen basiert. Dies bedeutet, dass die kriminelle Gruppe wahrscheinlich sehr erfahren ist, im Moment ist ihre Identität nicht bekannt. Die erfassten Beispiele zeigen, dass die folgenden Sicherheitsanfälligkeiten betroffen sind:

• CVE-2014-6287 — Die Funktion findMacroMarker in parserLib.pas im HTTP-Dateiserver von Rejetto (fragt HFS oder HttpFileServer) 2.3x vor 2.3c ermöglicht es entfernten Angreifern, beliebige Programme über a auszuführen %00 Sequenz in einer Suchaktion.
• CVE-2017-10271 — Eine Schwachstelle im Server Oracle WebLogic Komponente der Oracle Fusion Middleware (Subkomponente: WLS Sicherheit). Unterstützte Versionen sind betroffen sind 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 und 12.2.1.2.0. Leicht ausnutzbare Schwachstelle ermöglicht nicht authentifizierten Angreifer mit Netzzugang über T3 Oracle WebLogic Server zu kompromittieren. Erfolgreiche Angriffe dieser Sicherheitsanfälligkeit kann in Übernahme von Oracle WebLogic Server führen. CVSS- 3.0 Base Score 7.5 (Verfügbarkeit Auswirkungen). CVSS- Vector: (CVSS-:3.0/VON:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H).
• CVE-2018-20062 — Ein Problem wurde in NoneCms V1.3 entdeckt. ThinkPHP / library / denken / erlaubt App.php Angreifer über das Netzwerk beliebigen PHP-Code über gearbeitete Verwendung des Filters Parameter auszuführen, wie sie in der s = index / denken Request / Eingang demonstriert&Filter = phpinfo&Daten = 1 Abfrage-String.
• CVE-2017-9791 — Die Streben 1 Das Plugin in Apache Struts 2.1.x und 2.3.x ermöglicht möglicherweise die Ausführung von Remotecode über einen schädlichen Feldwert, der in einer Rohnachricht an ActionMessage übergeben wird.
• CVE-2019-9081 — Die Illuminate-Komponente von Laravel Framework 5.7.x weist eine Deserialisierungsanfälligkeit auf, die zur Remotecodeausführung führen kann, wenn der Inhalt steuerbar ist, bezogen auf die __destruct-Methode der PendingCommand-Klasse in PendingCommand.php.
• PHPStudy – Backdoor Remote Code Ausführung — Dieses Metasploit-Modul kann die Hintertür von PHPStudy erkennen und ausnutzen.
• CVE-2017-0144 — Der SMBv1-Server in Microsoft Windows Vista SP2; Windows Server 2008 SP2 und R2 SP1; Fenster 7 SP1; Fenster 8.1; Windows Server 2012 Gold und R2; Windows-RT 8.1; und Windows 10 Gold, 1511, und 1607; und Windows Server 2016 ermöglicht es entfernten Angreifern, beliebigen Code über gestaltete Pakete auszuführen, aka “Sicherheitsanfälligkeit in Windows SMB Remote Code Execution.” Diese Sicherheitsanfälligkeit unterscheidet sich von den in CVE-2017-0143 beschriebenen, CVE-2017-0145, CVE-2017-0146, und CVE-2017-0148.
• CVE-2017-0145 — Der SMBv1-Server in Microsoft Windows Vista SP2; Windows Server 2008 SP2 und R2 SP1; Fenster 7 SP1; Fenster 8.1; Windows Server 2012 Gold und R2; Windows-RT 8.1; und Windows 10 Gold, 1511, und 1607; und Windows Server 2016 ermöglicht es entfernten Angreifern, beliebigen Code über gestaltete Pakete auszuführen, aka “Sicherheitsanfälligkeit in Windows SMB Remote Code Execution.” Diese Sicherheitsanfälligkeit unterscheidet sich von den in CVE-2017-0143 beschriebenen, CVE-2017-0144, CVE-2017-0146, und CVE-2017-0148.
• CVE-2017-8464 — Windows Shell in Microsoft Windows Server 2008 SP2 und R2 SP1, Fenster 7 SP1, Fenster 8, Fenster 8.1, Windows Server 2012 Gold und R2, Windows-RT 8.1, Fenster 10 Gold, 1511, 1607, 1703, und Windows Server 2016 Ermöglicht lokalen Benutzern oder Angreifern von Remotestandorten, beliebigen Code über eine gestaltete .LNK-Datei auszuführen, Dies wird während der Symbolanzeige im Windows Explorer oder einer anderen Anwendung, die das Symbol der Verknüpfung analysiert, nicht ordnungsgemäß behandelt. aka “Sicherheitsanfälligkeit in LNK Remote Code Execution.”

Alle diese aufgeführten Sicherheitslücken werden als solche eingestuft kritisch oder hoch wegen ihrer Auswirkungen auf die gehosteten Maschinen. Die Lucifer-Malware enthält eine ausgefeilte Cryptojacking-Funktion in der Währung Kryptowährung, Bis zu diesem Zeitpunkt haben die Opfer insgesamt bezahlt 0.493527 DVDRip das beträgt ungefähr $32 USD.

Die Lucifer Malware verfügt über ein erweitertes Malware-Modul

Es wurde festgestellt, dass die Lucifer-Malware in verbreitet ist zwei verschiedene Versionen — von den Sicherheitsexperten als entweder differenziert Version 1 und Version 2. Das Gemeinsame zwischen ihnen ist, dass sie beim Start a initiieren Trojan Verbindung an einen von Hackern kontrollierten Server, der es den Controllern ermöglicht, die Kontrolle über die Opfersysteme zu übernehmen. Auf diese Weise können die kriminellen Kontrolleure praktisch auf alle im System gespeicherten Dateien zugreifen. Die tatsächliche Adresse wird nur dekodiert, wenn dieser Schritt ausgeführt werden muss. Dies schützt vor allgemeinen Signaturerkennungen, die Teil der meisten Sicherheitssoftware sind.

Die nächsten Schritte, die Teil des Motors sind, umfassen Änderungen an der Windows-Registrierung — Sie führen zu einer dauerhaften Installation der Bedrohung. Die Malware-Engine erstellt für sich selbst Zeichenfolgen in der Registrierung, die beim Einschalten des Computers zu einem automatischen Start führen.

Als Teil der enthaltenen Malware-Sequenz installiert die Malware eine gefährliche Kryptowährung Bergmann Hiermit werden die typischen Aufgaben ausgeführt, die mit diesem Virentyp verbunden sind. Miner sind spezifische Skripte, die von einzelnen Prozessen oder in Webbrowser-Fenstern ausgeführt werden können. Sie zielen darauf ab, eine Reihe leistungsintensiver Aufgaben herunterzuladen und abzurufen. Betroffen sind die wichtigsten Hardwarekomponenten einschließlich der CPU, Festplattenspeicher, Erinnerung, Netzwerkgeschwindigkeit und die Grafikkarte. Für jede abgeschlossene und gemeldete Aufgabe erhalten die Hacker als Belohnung Kryptowährungs-Assets.

Eine der Hauptaufgaben, die ausgeführt wird, ist die Durchführung von a Sicherheit Bypass — Dadurch wird nach Prozessen gesucht, die als Sicherheitssoftware identifiziert wurden, und diese werden gestoppt. Die Liste der aktuellen Anwendungen, die betroffen sind, umfasst Folgendes:

Avira, COMPUTERNAME, CWSX, VBOX, Kuckuck, nmsdbox, Sandkasten, wilbert-sc, xxxx - ox, WILBERT-SC, XPAMASTC, Kappa, XXXX-OS, sleepx-, qemu, virtuell, xpamast-sc und cuckoosandbox

Luzifer Malware hat auch die Fähigkeit auszuführen Distributed-Denial-of-Service-Attacken die von den Hackern kontrolliert werden können, um Sabotageverfahren durchzuführen.

A geplante Aufgabe wird auch eingerichtet, was Teil der Gesamt ist Systemänderungen Optionen. Beide Versionen enthalten erweiterte Funktionen, die die folgenden Optionen umfassen:

• Löschen der vom Betriebssystem aufgezeichneten Ereignisprotokolle
• Sammeln von Netzwerkschnittstelleninformationen und Senden des aktuellen Cryptominer-Status
• Prozess töten
• Initialisierung von benutzerdefinierten Kryptowährungsparametern oder Beenden der laufenden Prozesse
• Weitere Infektion mit einer Brute-Force-Methode, mit der andere zugängliche Geräte im Netzwerk ausgenutzt werden sollen
• Konfigurationsspeicherung in einer voreingestellten TEXT-Datei
• Durchführen eines TCP / UDP / HTTP-DoS-Angriffs
• Aktivieren des DoS-Angriffs
• Herunterladen und Ausführen einer Datei von einem Befehls- und Steuerungsserver
• Ausführung des Remote-Befehls vom hackergesteuerten Server
• Deaktivieren der Statusberichtsfunktion des Miners
• Aktivieren der Statusberichtsfunktion des Miners
• Änderungen am Windows-Registrierungswert
• Zurücksetzen des aktuellen Satzes und Beenden des Cryptocurrency Miner-Prozesses

Wir empfehlen allen Benutzern, ihre Service-Software und Produktivitätsanwendung zu aktualisieren, um die Schwachstellen zu beheben.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir: