Logiciels malveillants Lucifer à propagation automatique contre les ordinateurs Windows

Un malware avancé Microsoft Windows appelé Lucifer s'est révélé infecter les ordinateurs cibles à l'aide d'un ensemble de fonctionnalités très sophistiquées. Il a été détecté dans une campagne d'attaque active qui présente de nouvelles techniques d'infection par “bombardements” hôtes informatiques avec beaucoup d'exploits de vulnérabilité jusqu'à ce qu'une faiblesse soit détectée. L'une des caractéristiques distinctives du malware Lucifer est qu'il contient un mécanisme d'auto-propagation.

Le logiciel malveillant Lucifer dispose d'un mécanisme d'infection avancé

La communauté de la sécurité a signalé un nouveau malware malveillant Microsoft Windows appelé Lucifer. Une analyse de sécurité a été faite des échantillons capturés qui indique qu'il s'agit d'une nouvelle menace et de la première version de celle-ci qui est envoyée lors d'une attaque en direct.

La mécanisme d'attaque implique le suivi d'un test d'intrusions multiples standard par rapport aux services cibles. Les hackers ont configuré l'infrastructure de déploiement pour lancer un très grand nombre d'exploits sur des services ouverts trouvés sur les réseaux informatiques. Si une correspondance est trouvée, la vulnérabilité sera exploitée sur la base de la règle de configuration indiquant que l'objectif est d'installer le malware Lucifer.

Dans une large mesure, cela signifie que les attaques sont menées de manière automatique. Étant donné que le logiciel malveillant Lucifer comprend de nombreuses fonctionnalités avancées et n'est basé sur aucune des menaces existantes. Cela signifie que le groupe criminel est probablement très expérimenté, au moment où leur identité n'est pas connue. Les échantillons capturés indiquent que les vulnérabilités suivantes sont ciblées:

• CVE-2014-6287 — La fonction findMacroMarker dans parserLib.pas dans Rejetto HTTP File Server (aks HFS ou HttpFileServer) 2.3x avant 2.3c permet aux attaquants distants d'exécuter des programmes arbitraires via un %00 séquence dans une action de recherche.
• CVE-2017-10271 — Une vulnérabilité dans le composant Oracle WebLogic Server Oracle Fusion Middleware (sous-composant: WLS sécurité). Versions prises en charge qui sont touchées sont 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 et 12.2.1.2.0. Facilement la vulnérabilité exploitable permet attaquant non authentifié avec un accès réseau via T3 à compromettre Oracle WebLogic Server. attaques réussies de cette vulnérabilité peut entraîner une prise de contrôle d'Oracle WebLogic Server. CVSS 3.0 base de Score 7.5 (impacts Disponibilité). Vecteur CVSS: (CVSS:3.0/DE:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H).
• CVE-2018-20062 — Un problème a été découvert dans NoneCms V1.3. ThinkPHP / bibliothèque / penser / app.php permet attaquants distants d'exécuter du code PHP arbitraire via l'utilisation du paramètre conçu de filtre, comme le montre l'indice s = / penser Request / input&filtrer = phpinfo&data = 1 chaîne de requête.
• CVE-2017-9791 — The Struts 1 le plugin dans Apache Struts 2.1.x et 2.3.x peut permettre l'exécution de code à distance via une valeur de champ malveillante transmise dans un message brut à ActionMessage.
• CVE-2019-9081 — Le composant Illuminate de Laravel Framework 5.7.x a une vulnérabilité de désérialisation qui peut conduire à l'exécution de code à distance si le contenu est contrôlable, lié à la méthode __destruct de la classe PendingCommand dans PendingCommand.php.
• PHPStudy – Exécution de code à distance de porte dérobée — Ce module Metasploit peut détecter et exploiter la porte dérobée de PHPStudy.
• CVE-2017-0144 — Le serveur SMBv1 dans Microsoft Windows Vista SP2; Windows Server 2008 SP2 et R2 SP1; Fenêtres 7 SP1; Fenêtres 8.1; Windows Server 2012 L'or et R2; Windows RT 8.1; et Windows 10 Or, 1511, et 1607; et Windows Server 2016 permet à des attaquants distants d'exécuter du code arbitraire via des paquets spécialement conçus, alias “Vulnérabilité d'exécution de code à distance dans Windows SMB.” Cette vulnérabilité est différente de celles décrites dans CVE-2017-0143, CVE-2017-0145, CVE-2017-0146, et CVE-2017-0148.
• CVE-2017-0145 — Le serveur SMBv1 dans Microsoft Windows Vista SP2; Windows Server 2008 SP2 et R2 SP1; Fenêtres 7 SP1; Fenêtres 8.1; Windows Server 2012 L'or et R2; Windows RT 8.1; et Windows 10 Or, 1511, et 1607; et Windows Server 2016 permet à des attaquants distants d'exécuter du code arbitraire via des paquets spécialement conçus, alias “Vulnérabilité d'exécution de code à distance dans Windows SMB.” Cette vulnérabilité est différente de celles décrites dans CVE-2017-0143, CVE-2017-0144, CVE-2017-0146, et CVE-2017-0148.
• CVE-2017-8464 — Shell Windows dans Microsoft Windows Server 2008 SP2 et R2 SP1, Fenêtres 7 SP1, Fenêtres 8, Fenêtres 8.1, Windows Server 2012 L'or et R2, Windows RT 8.1, Fenêtres 10 Or, 1511, 1607, 1703, et Windows Server 2016 permet aux utilisateurs locaux ou aux attaquants distants d'exécuter du code arbitraire via un fichier .LNK spécialement conçu, qui n'est pas correctement géré lors de l'affichage des icônes dans l'Explorateur Windows ou dans toute autre application qui analyse l'icône du raccourci. alias “Vulnérabilité d'exécution de code à distance dans LNK.”

Toutes ces vulnérabilités répertoriées sont classées comme critique ou haute en raison de leur impact sur les machines hébergées. Le malware Lucifer inclut une fonction sophistiquée de cryptojacking dans le monnaie crypto-monnaie, à ce jour, les victimes ont payé un total de 0.493527 DVDRip ce qui équivaut à environ $32 USD.

Le logiciel malveillant Lucifer possède un module avancé de logiciel malveillant

Le malware Lucifer a été trouvé distribué dans deux versions distinctes — différenciés par les experts en sécurité comme Version 1 et Version 2. Le point commun entre eux est qu’au lancement, ils initieront une Connexion cheval de Troie à un serveur contrôlé par des pirates qui permettra aux contrôleurs de prendre le contrôle des systèmes victimes. Cela permettra aux contrôleurs criminels d'avoir pratiquement accès à tous les fichiers stockés dans le système. L'adresse réelle ne sera décodée que lorsque cette étape doit être exécutée. Cela protège contre les détections de signatures communes qui font partie de la plupart des logiciels de sécurité.

Les prochaines étapes qui font partie du moteur incluent des modifications au Registre Windows — ils conduiront à une installation persistante de la menace. Le moteur de malware créera des chaînes pour lui-même dans le Registre, ce qui entraînera un démarrage automatique lorsque l'ordinateur est allumé.

Dans le cadre de la séquence de logiciels malveillants incluse, le logiciel malveillant installera un mineur crypto-monnaie qui effectuera les tâches typiques associées à ce type de virus. Les mineurs sont des scripts spécifiques qui peuvent être exécutés par des processus individuels ou à partir des fenêtres du navigateur Web. Ils visent à télécharger et à récupérer une séquence de tâches exigeantes en performances. Les composants matériels les plus importants seront affectés, y compris le CPU, espace disque, Mémoire, la vitesse du réseau et la carte graphique. Pour chaque tâche terminée et signalée, les pirates recevront des actifs de crypto-monnaie en récompense.

L’une des principales tâches qui seront exécutées consiste à by-pass de sécurité — cela recherchera les processus identifiés comme logiciels de sécurité et les arrêtera. La liste des applications actuelles concernées est la suivante::

Avira, NOM DE L'ORDINATEUR, CWSX, VBOX, coucou, nmsdbox, bac à sable, wilbert-sc, xxxx - bœuf, WILBERT-SC, XPAMASTC, Kappa, XXXX-OS, sleepx-, qemu, virtuel, xpamast-sc et cuckoosandbox

Logiciel malveillant Lucifer a également la capacité d'effectuer déni distribué des attaques de service qui peuvent être contrôlés par les pirates afin de mener des procédures de sabotage.

Une tâche planifiée sera également institué, ce qui fait partie du les modifications du système Options. Les deux versions incluent des capacités avancées qui incluent les options suivantes:

• Effacement des journaux d'événements enregistrés par le système d'exploitation
• Collecte d'informations sur l'interface réseau et envoi de l'état actuel du cryptominer
• Processus de mise à mort
• Initialisation de paramètres liés aux crypto-monnaies personnalisés ou suppression des processus en cours
• Infection supplémentaire à l'aide d'une méthode de force brute destinée à exploiter d'autres appareils accessibles sur le réseau
• Enregistrement de la configuration dans un fichier TEXT prédéfini
• Réalisation d'une attaque DoS TCP / UDP / HTTP
• Réactivation de l'attaque DoS
• Téléchargement et exécution d'un fichier à partir d'un serveur de commande et de contrôle
• Exécution de la commande à distance à partir du serveur contrôlé par un pirate
• Désactivation de la fonction de rapport d'état du mineur
• Activation de la fonction de rapport d'état du mineur
• Modifications de la valeur du Registre Windows
• Réinitialisation de l'ensemble actuel et fin du processus de mineur de crypto-monnaie

Nous conseillons à tous les utilisateurs de mettre à jour leur logiciel de service et leur application de productivité afin de corriger les vulnérabilités.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi: