Er is gevonden dat een geavanceerde Microsoft Windows-malware, Lucifer genaamd, doelcomputers infecteert met behulp van een zeer geavanceerde set functies. Het is gedetecteerd in een actieve aanvalscampagne die is voorzien van een nieuwe infectie technieken door “bombardementen” computerhosts met veel kwetsbaarheden misbruiken totdat een zwakte wordt gedetecteerd. Een van de onderscheidende kenmerken van de Lucifer-malware is dat deze een zelfvermeerderingsmechanisme bevat.
De Lucifer Malware beschikt over een geavanceerd infectiemechanisme
De beveiligingsgemeenschap heeft een gevaarlijke nieuwe Microsoft Windows-malware gemeld die wordt genoemd Lucifer. Er is een veiligheidsanalyse gemaakt van de gevangen monsters, wat aangeeft dat dit een nieuwe bedreiging is en de eerste versie ervan wordt verzonden in een live aanval.
Het mechanisme van aanval omvat het volgen van een standaard multiple inbraak test tegen doeldiensten. De hackers hebben de implementatie-infrastructuur geconfigureerd om een zeer groot aantal exploits te lanceren bij open services op de computernetwerken. Als een match wordt gevonden, wordt het beveiligingslek misbruikt op basis van de configuratieregel waarin staat dat het doel is om de Lucifer-malware te installeren.
Dit betekent voor een groot deel dat de aanvallen automatisch worden uitgevoerd. Gezien het feit dat de Lucifer-malware veel geavanceerde functies bevat en niet is gebaseerd op een van de bestaande bedreigingen. Dit betekent dat de criminele groep waarschijnlijk zeer ervaren is, op dit moment is hun identiteit niet bekend. De vastgelegde voorbeelden geven aan dat de volgende kwetsbaarheden zijn gericht:
- CVE-2014-6287 — De functie findMacroMarker in parserLib.pas in Rejetto HTTP-bestandsserver (aks HFS of HttpFileServer) 2.3Met x voor 2.3c kunnen aanvallers op afstand willekeurige programma's uitvoeren via een %00 volgorde in een zoekactie.
- CVE-2017-10.271 — Door een beveiligingslek in de Oracle WebLogic Server component van Oracle Fusion Middleware (subonderdeel: WLS Beveiliging). Ondersteunde versies die worden beïnvloed zijn 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 en 12.2.1.2.0. Eenvoudig te exploiteren kwetsbaarheid maakt het mogelijk niet-geverifieerde aanvaller met netwerktoegang via T3 Oracle WebLogic Server compromis. Succesvolle aanvallen van dit beveiligingslek kan leiden tot overname van Oracle WebLogic Server. CVSS 3.0 Base Score 7.5 (Beschikbaarheid impacts). CVSS Vector: (CVSS:3.0/VAN:N / AC:L / PR:N / UI:NS:U / C:N / I:N / A:H).
- CVE-2018-20.062 — Een probleem werd ontdekt in NoneCms V1.3. thinkphp / bibliotheek / denken / App.php kunnen externe aanvallers willekeurige PHP-code uit te voeren via bewerkte gebruik van de parameter filter, zoals blijkt uit de s = index / denken Request / input&filter = phpinfo&data = 1 querytekenreeks.
- CVE-2017-9791 — De stutten 1 plug-in in Apache Struts 2.1.x en 2.3.x kan externe code-uitvoering mogelijk maken via een kwaadaardige veldwaarde die in een onbewerkt bericht aan de ActionMessage wordt doorgegeven.
- CVE-2019-9081 — De Illuminate-component van Laravel Framework 5.7.x heeft een deserialisatie-kwetsbaarheid die kan leiden tot uitvoering van externe code als de inhoud controleerbaar is, gerelateerd aan de __destruct-methode van de klasse PendingCommand in PendingCommand.php.
- PHPStudy – Backdoor Remote Code uitvoering — Deze Metasploit-module kan de achterdeur van PHPStudy detecteren en exploiteren.
- CVE-2017-0144 — De SMBv1-server in Microsoft Windows Vista SP2; Windows Server 2008 SP2 en R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Goud en R2; Windows RT 8.1; en Windows 10 Goud, 1511, en 1607; en Windows Server 2016 stelt aanvallers op afstand in staat willekeurige code uit te voeren via vervaardigde pakketten, aka “Windows SMB tot Uitvoering van Externe Code Kwetsbaarheid.” Dit beveiligingslek verschilt van het beveiligingslek dat wordt beschreven in CVE-2017-0143, CVE-2017-0145, CVE-2017-0146, en CVE-2017-0148.
- CVE-2017-0145 — De SMBv1-server in Microsoft Windows Vista SP2; Windows Server 2008 SP2 en R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Goud en R2; Windows RT 8.1; en Windows 10 Goud, 1511, en 1607; en Windows Server 2016 stelt aanvallers op afstand in staat willekeurige code uit te voeren via vervaardigde pakketten, aka “Windows SMB tot Uitvoering van Externe Code Kwetsbaarheid.” Dit beveiligingslek verschilt van het beveiligingslek dat wordt beschreven in CVE-2017-0143, CVE-2017-0144, CVE-2017-0146, en CVE-2017-0148.
- CVE-2017-8464 — Windows Shell in Microsoft Windows Server 2008 SP2 en R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Goud en R2, Windows RT 8.1, Windows 10 Goud, 1511, 1607, 1703, en Windows Server 2016 stelt lokale gebruikers of externe aanvallers in staat om willekeurige code uit te voeren via een vervaardigd .LNK-bestand, die niet goed wordt afgehandeld tijdens het weergeven van pictogrammen in Windows Verkenner of een andere toepassing die het pictogram van de snelkoppeling parseert. aka “LNK Kwetsbaarheid in externe code-uitvoering.”
Al deze genoemde kwetsbaarheden worden als een van beide beoordeeld kritisch of hoog vanwege hun impact op de gehoste machines. De Lucifer-malware bevat een geavanceerde cryptojacking-functie in de valuta cryptogeld, tot op heden hebben de slachtoffers in totaal een bedrag van 0.493527 DVDRip wat neerkomt op ongeveer $32 USD.
De Lucifer Malware heeft een geavanceerde malwaremodule
De Lucifer-malware is verspreid in twee verschillende versies — gedifferentieerd door de beveiligingsexperts als een van beide Versie 1 en Versie 2. Het gemeenschappelijke tussen hen is dat ze bij de lancering een Trojan verbinding naar een door een hacker bestuurde server waarmee de controllers de controle over de slachtoffer-systemen kunnen overnemen. Hierdoor hebben de criminele controleurs praktisch toegang tot alle opgeslagen bestanden binnen het systeem. Het daadwerkelijke adres wordt alleen gedecodeerd als deze stap moet worden uitgevoerd. Dit beschermt tegen algemene handtekeningdetecties die deel uitmaken van de meeste beveiligingssoftware.
De volgende stappen die deel uitmaken van de motor omvatten wijzigingen in het Windows-register — ze zullen leiden tot een aanhoudende installatie van de bedreiging. De malware-engine maakt voor zichzelf strings aan in het register, wat leidt tot automatisch opstarten wanneer de computer wordt ingeschakeld.
Als onderdeel van de meegeleverde malware-sequentie zal de malware een gevaarlijke installatie uitvoeren cryptogeld mijnwerker die de typische taken zal uitvoeren zoals geassocieerd met dit virustype. Mijnwerkers zijn specifieke scripts die kunnen worden uitgevoerd door individuele processen of vanuit webbrowservensters. Ze zijn bedoeld om een reeks prestatie-intensieve taken te downloaden en op te halen. De belangrijkste hardwarecomponenten worden beïnvloed, inclusief de CPU, ruimte op de harde schijf, geheugen, snelheid van het netwerk en de grafische kaart. Voor elke voltooide en gerapporteerde taak ontvangen de hackers cryptocurrency-activa als beloning.
Een van de belangrijkste taken die worden uitgevoerd, is het uitvoeren van een security bypass — Hiermee wordt gezocht naar processen die worden geïdentificeerd als beveiligingssoftware en deze worden gestopt. De lijst met huidige toepassingen die worden beïnvloed, omvat het volgende:
Avira, COMPUTER NAAM, CWSX, VBOX, koekoek, nmsdbox, zandbak, wilbert-sc, xxxx - os, WILBERT-SC, XPAMASTC, Kappa, XXXX-OS, sleepx-, qemu, virtueel, xpamast-sc en cuckoosandbox
Lucifer-malware heeft ook de mogelijkheid om uit te voeren distributed denial of service-aanvallen die kunnen worden gecontroleerd door de hackers om sabotageprocedures uit te voeren.
Een geplande taak zal ook worden ingesteld die deel uitmaakt van de overall systeemveranderingen opties. Beide versies bevatten geavanceerde mogelijkheden, waaronder de volgende opties:
- Wissen van de gebeurtenislogboeken zoals vastgelegd door het besturingssysteem
- Verzamelen van netwerkinterface-informatie en het verzenden van de huidige cryptominer-status
- Proces doden
- Initialisatie van aangepaste cryptocurrency-gerelateerde parameters of het doden van de lopende processen
- Verdere infectie met een brute-force-methode die bedoeld is om andere toegankelijke apparaten op het netwerk te exploiteren
- Configuratie opslaan in een vooraf ingesteld TEXT-bestand
- Uitvoeren van een TCP / UDP / HTTP DoS-aanval
- De DoS-aanval weer inschakelen
- Downloaden en uitvoeren van een bestand vanaf een commando- en controleserver
- Het uitvoeren van de opdracht op afstand vanaf de door hackers bestuurde server
- De statusrapportagefunctie van de mijnwerker uitschakelen
- De statusrapporteringsfunctie van de mijnwerker inschakelen
- De waarde van het Windows-register verandert
- Resetten van de huidige set en beëindiging van het cryptocurrency miner-proces
We raden alle gebruikers aan om hun servicesoftware en productiviteitstoepassing bij te werken om de kwetsbaarheden te verhelpen.