Luciferと呼ばれる高度なMicrosoftWindowsマルウェアが、非常に高度な機能セットを使用してターゲットコンピューターに感染することが判明しました。. これは、次のような新しい感染技術を特徴とするアクティブな攻撃キャンペーンで検出されました。 “砲撃” 脆弱性が検出されるまで、脆弱性の悪用が多いコンピュータホスト. Luciferマルウェアの特徴の1つは、自己増殖メカニズムが含まれていることです。.
ルシファーマルウェアは、高度な感染メカニズムを備えています
セキュリティコミュニティは、と呼ばれる危険な新しいMicrosoftWindowsマルウェアを報告しました ルシファー. キャプチャされたサンプルのセキュリティ分析が行われ、これは新しい脅威であり、ライブ攻撃で送信される最初のバージョンであることを示しています。.
The 攻撃のメカニズム ターゲットサービスに対する標準的な複数の侵入テストの以下が含まれます. ハッカーは、コンピューターネットワーク上にあるオープンサービスで非常に多くのエクスプロイトを起動するように展開インフラストラクチャを構成しました. 一致するものが見つかった場合、その脆弱性は、Luciferマルウェアをインストールすることが目標であるという構成ルールに基づいて悪用されます。.
大体において、これは攻撃が自動的に実行されることを意味します. Luciferマルウェアには多くの高度な機能が含まれており、既存の脅威のいずれにも基づいていないという事実を考えると. これは、犯罪グループが非常に経験豊富である可能性が高いことを意味します, 現時点では彼らの身元は不明です. キャプチャされたサンプルは、次の脆弱性が標的にされていることを示しています:
- CVE-2014-6287 — RejettoHTTPファイルサーバーのparserLib.pasのfindMacroMarker関数 (aksHFSまたはHttpFileServer) 2.32.3cより前のxでは、リモートの攻撃者が %00 検索アクションのシーケンス.
- CVE-2017-10271 — OracleFusionMiddlewareのOracleWebLogicServerコンポーネントの脆弱性 (サブコンポーネント: WLSセキュリティ). 影響を受けるサポートされているバージョンは 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 と 12.2.1.2.0. 簡単に悪用可能な脆弱性により、認証されていない攻撃者がT3経由でネットワークにアクセスしてOracleWebLogicServerを侵害する可能性があります. この脆弱性の攻撃が成功すると、OracleWebLogicServerが乗っ取られる可能性があります. CVSS 3.0 基本スコア 7.5 (可用性への影響). CVSSベクトル: (CVSS:3.0/AV:該当なし:L / PR:N / UI:N / S:U / C:該当なし:該当なし:H).
- CVE-2018-20062 — NoneCmsV1.3で問題が発見されました. thinkphp / library / think / App.phpを使用すると、リモートの攻撃者は、フィルターパラメーターを巧妙に使用して任意のPHPコードを実行できます。, s = index / think Request/inputで示されるように&filter = phpinfo&data=1クエリ文字列.
- CVE-2017-9791 — ストラッツ 1 Apache Struts 2.1.xおよび2.3.xのプラグインは、生のメッセージでActionMessageに渡される悪意のあるフィールド値を介したリモートコード実行を許可する可能性があります.
- CVE-2019-9081 — Laravel Framework 5.7.xのIlluminateコンポーネントには逆シリアル化の脆弱性があり、コンテンツが制御可能である場合、リモートでコードが実行される可能性があります, PresidentingCommand.phpのPendingCommandクラスの__destructメソッドに関連します.
- PHPStudy – バックドアリモートコード実行 — このMetasploitモジュールは、PHPStudyのバックドアを検出して悪用することができます.
- CVE-2017-0144 — Microsoft WindowsVistaSP2のSMBv1サーバー; Windows Server 2008 SP2およびR2SP1; ウィンドウズ 7 SP1; ウィンドウズ 8.1; Windows Server 2012 ゴールドとR2; Windows RT 8.1; およびWindows 10 金, 1511, と 1607; およびWindowsServer 2016 リモートの攻撃者が細工したパケットを介して任意のコードを実行できるようにする, 別名 “WindowsSMBリモートコード実行の脆弱性。” この脆弱性は、CVE-2017-0143で説明されている脆弱性とは異なります, CVE-2017-0145, CVE-2017-0146, およびCVE-2017-0148.
- CVE-2017-0145 — Microsoft WindowsVistaSP2のSMBv1サーバー; Windows Server 2008 SP2およびR2SP1; ウィンドウズ 7 SP1; ウィンドウズ 8.1; Windows Server 2012 ゴールドとR2; Windows RT 8.1; およびWindows 10 金, 1511, と 1607; およびWindowsServer 2016 リモートの攻撃者が細工したパケットを介して任意のコードを実行できるようにする, 別名 “WindowsSMBリモートコード実行の脆弱性。” この脆弱性は、CVE-2017-0143で説明されている脆弱性とは異なります, CVE-2017-0144, CVE-2017-0146, およびCVE-2017-0148.
- CVE-2017-8464 — MicrosoftWindowsServerのWindowsシェル 2008 SP2およびR2SP1, ウィンドウズ 7 SP1, ウィンドウズ 8, ウィンドウズ 8.1, Windows Server 2012 ゴールドとR2, Windows RT 8.1, ウィンドウズ 10 金, 1511, 1607, 1703, およびWindowsServer 2016 ローカルユーザーまたはリモートの攻撃者が、細工された.LNKファイルを介して任意のコードを実行できるようにします, これは、Windowsエクスプローラーまたはショートカットのアイコンを解析するその他のアプリケーションでのアイコン表示中に適切に処理されません。. 別名 “LNKリモートコード実行の脆弱性。”
これらのリストされた脆弱性はすべて、次のいずれかとして評価されます。 致命的 また 高い ホストされているマシンへの影響のため. Luciferマルウェアには、高度なクリプトジャッキング機能が含まれています。 モネロ暗号通貨, この日までに、犠牲者は合計で支払った 0.493527 XMR これは約に相当します $32 米ドル.
Luciferマルウェアには高度なマルウェアモジュールがあります
ルシファーマルウェアは、 2つの異なるバージョン — セキュリティの専門家によって次のいずれかとして区別されます バージョン 1 と バージョン 2. それらの間の共通点は、起動時にそれらが開始するということです トロイの木馬接続 コントローラーが被害者のシステムの制御を引き継ぐことを可能にするハッカー制御のサーバーに. これにより、犯罪者の管理者は、システム内に保存されているすべてのファイルに実質的にアクセスできるようになります。. 実際のアドレスは、このステップを実行する必要がある場合にのみデコードされます. これは、ほとんどのセキュリティソフトウェアの一部である一般的なシグニチャ検出を防ぎます.
エンジンの一部である次のステップは次のとおりです Windowsレジストリへの変更 — それらは脅威の永続的なインストールにつながります. マルウェアエンジンはレジストリに文字列を作成し、コンピュータの電源がオンになると自動的に起動します.
含まれているマルウェアシーケンスの一部として、マルウェアは危険なマルウェアをインストールします 暗号通貨マイナー このウイルスタイプに関連する典型的なタスクを実行します. マイナーは、個々のプロセスによって、またはWebブラウザーウィンドウ内から実行できる特定のスクリプトです。. パフォーマンスを大量に消費する一連のタスクをダウンロードして取得することを目的としています. CPUを含む最も重要なハードウェアコンポーネントが影響を受けます, ハードディスク容量, メモリー, ネットワーク速度とグラフィックカード. 完了して報告されたタスクごとに、ハッカーは報酬として暗号通貨資産を受け取ります.
実行される主なタスクの1つは、 セキュリティバイパス — これにより、セキュリティソフトウェアとして識別されたプロセスが検索され、停止されます. 影響を受ける現在のアプリケーションのリストは次のとおりです。:
Avira, コンピュータネーム, CWSX, VBOX, カッコウ, nmsdbox, サンドボックス, ウィルバート-sc, xxxx –牛, ウィルバート-SC, XPAMASTC, カッパ, XXXX-OS, cwsx-, qemu, バーチャル, xpamast-scおよびcuckoosandbox
ルシファーマルウェア 実行する能力もあります 分散型サービス拒否攻撃 これは、妨害行為を行うためにハッカーによって制御される可能性があります.
A スケジュールされたタスク 全体の一部であるも開始されます システムの変更 オプション. どちらのバージョンにも、次のオプションを含む高度な機能が含まれています:
- オペレーティングシステムによって記録されたイベントログのクリア
- ネットワークインターフェース情報の収集と現在のクリプトマイナーステータスの送信
- プロセス殺害
- カスタム暗号通貨関連パラメーターの初期化または実行中のプロセスの強制終了
- ネットワーク上の他のアクセス可能なデバイスを悪用することを目的としたブルートフォース方式を使用したさらなる感染
- プリセットTEXTファイルへの設定の保存
- TCP / UDP /HTTPDoS攻撃の実行
- DoS攻撃を再び有効にする
- コマンドおよび制御サーバーからのファイルのダウンロードと実行
- ハッカー制御サーバーからのリモートコマンドの実行
- マイナーのステータスレポート機能を無効にする
- マイナーのステータスレポート機能を有効にする
- Windowsレジストリ値の変更
- 現在のセットのリセットと暗号通貨マイナープロセスの終了
脆弱性にパッチを適用するために、すべてのユーザーにサービスソフトウェアと生産性アプリケーションを更新することをお勧めします.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: