新的 Lucifer DDoS 僵尸網絡針對具有多種漏洞的 Windows 系統

一個名為Lucifer的新的僵尸網絡出現在威脅領域中，它利用了十幾種高嚴重性漏洞來影響Windows系統。在感染一個系統后，僵尸程序會將其轉變為加密客戶端，并可以使用它發起分布式拒絕服務（DDoS）攻擊。
該惡意軟件的作者將其稱為Satan DDoS機器人，但Palo Alto Network的Unit42研究人員將其稱為Lucifer，因為還有另一種同名惡意軟件Satan Ransomware。

“ 2020年5月29日，第42小組的研究人員從無數CVE-2019-9081的大量野生攻擊事件中發現了一種混合加密劫持惡意軟件的新變種。” 42小組團隊發布的報告顯示，“仔細觀察發現，被我們稱為“ Lucifer”的惡意軟件，能夠進行DDoS攻擊，并且具備針對易受攻擊的Windows主機的各種攻擊手段。”

專家在調查利用CVE-2019-9081漏洞的幾次嘗試的同時發現了僵尸網絡，該漏洞是一個嚴重的RCE漏洞，會影響Laravel Web框架的組件。

Lucifer機器人的第一個變體于5月29日被發現，這是該運動的一部分，該運動于6月10日停止，并于6月11日以該機器人的更新版本恢復。

“Lucifer的能力非常強大。它不僅能夠丟棄XMRig來進行Monero的密碼劫持，而且還能夠通過利用多個漏洞和憑據來進行命令和控制（C2）操作以及自我傳播。” 繼續分析,“此外，它還針對易受攻擊的Intranet感染目標丟棄并運行EternalBlue，EternalRomance和DoublePulsar后門。”

Lucifer還可以掃描打開TCP端口135（RPC）和1433（MSSQL）的計算機，并嘗試對其進行暴力破解，然后一旦進入，該僵尸程序就會通過shell命令植入自身的副本。

該僵尸程序能夠刪除XMRig Monero miner，并包含一個DDoS模塊，它通過利用多個漏洞并發動暴力攻擊來實現自我傳播機制。

該機器人利用多個漏洞，包括CVE-2014-6287，CVE-2018-1000861， CVE-2017-10271，ThinkPHP RCE漏洞（CVE-2018-20062），CVE-2018-7600，CVE-2017-9791，CVE-2019-9081，PHPStudy Backdoor RCE，CVE-2017-0144，CVE-2017-0145和 CVE-2017-8464。

一旦系統受到威脅，攻擊者就可以在受感染的設備上執行任意命令，專家們注意到，該僵尸程序可以將Internet和Intranet上的Windows主機作為攻擊目標。42小組的研究人員注意到，攻擊者正在利用有效載荷中的certutil實用程序進行惡意軟件傳播。

該惡意軟件可以使用帶有以下內容的字典來發起暴力攻擊：
對于暴力攻擊，該惡意軟件依賴于具有七個用戶名的字典：“ sa”，“ SA”，“ su”，“ kisadmin”，“ SQLDebugger”，“ mssql”和“ Chred1433”以及數百個密碼。

專家注意到，該僵尸程序的最新版本實現了反分析保護，以避免在虛擬化環境中執行。

在進行分析時，機器人運營商使用的錢只有0.493527 XMR（約30美元）。

“ Lucifer是加密劫持和DDoS惡意軟件變種的新混合物，它利用舊漏洞在Windows平臺上傳播和執行惡意活動。強烈建議對受影響的軟件應用進行更新和修補。” 總結報告稱，“易受攻擊的軟件包括Rejetto HTTP文件服務器，Jenkins，Oracle Weblogic，Drupal，Apache Struts，Laravel框架和Microsoft Windows。還鼓勵使用強密碼來防止字典攻擊。”