网络企业PaloAltoNetworks的安全团队Unit42发现一支结合挖矿劫持(cryptojacking)及分布式拒绝服务攻击(DDoS)能力的混种恶意程序,锁定Windows平台、OracleWebLogic、Jenkins、ApacheStruts的多项漏洞在网络上发动攻击。目前攻击仍在进行中。
这只恶意程序作者自称为SatanDDoS,但是为了和另一只Satan勒索软件区隔,PaloAlto研究人员于是将之命名为Lucifer。
Lucifer于6月中两度针对Windows主机的CVE--漏洞发动DDoS攻击,并植入XMRig挖门罗币(Monero)币。经过分析,研究人员发现它具有相当复杂的能力。除了能在受害机器内进行挖矿外,还具备CC连接、自我繁殖的能力。
为了自我复制,Lucifer会扫描主机的TCPport(RPC)及(MSSQL),然后进行密码暴力破解,或是使用EnternalBlue、EternalRomance、DoublePulsar等后门程序。在本例中,它使用certutil指令复制到其他内网Windows机器上。
一旦进入受害机器,Lucifer即会和CC服务器创建连接,根据指令发动DoS/TCP/UDP攻击、下载XMRig、关闭系统通报或启动挖矿功能。
研究人员还发现,除了CVE--外,Lucifer武装化(攻击)的漏洞也包括由“高”到“重大”不等的漏洞,如CVE--、CVE--、CVE--、ThinkPHPRCE漏洞(CVE--)、CVE--、CVE--、PHPStudyBackdoorRCE、CVE--、CVE--及CVE--。受到这些漏洞影响的软件种类繁多,不只是Windows平台,也包括RejettoHTTPFileServer、Jenkins、OracleWeblogic、Drupal、ApacheStruts、PHP框架Laravelframework。
所幸攻击者的XMR钱包内目前仅挖到0.个Monero币,约32美元。但是研究人员也警告Lucifer仍然在网络上流传。一旦上述漏洞遭开采,可能让攻击者在受害机器上执行任意程序代码。
研究团队还发现Lucifer第2版本。它和之前版本一样能挖矿刼持、创建CC连接、暴力破解密码及自我繁殖增生之外,还具有反沙箱功能,即检查感染主机的用户名称及计算机名称,如果比对有符合默认的名称,就会停止运行。另外版本2还有反debugger的手段,借由发送特殊字符串来使debugger故障。
研究团队呼吁企业用户应尽早检查使用的软件平台是否已补好漏洞,也建议用户使用强密码防范字典攻击。