混合惡意軟件 “Lucifer” 可發起分布式拒絕服務（DDoS）攻擊

Palo Alto Networks報告稱，最近發現的一種加密劫持惡意軟件包括使運營商能夠發起分布式拒絕服務（DDoS）攻擊的功能。

惡意軟件Lucifer5月29日首次被發現，6月11日升級了版本。該威脅旨在丟棄XMRig以挖掘Monero，它可以通過針對各種漏洞自行傳播，能夠執行命令和控制（C＆C）操作，并在易受攻擊的目標上將EternalBlue，EternalRomance和DoublePulsar后門丟棄并運行在Intranet上感染。

Palifer Alto Networks的安全研究人員指出，Lucifer針對一長串嚴重的和高嚴重性漏洞，這些漏洞來自Rejetto HTTP File Server，Jenkins，Oracle Weblogic，Drupal，Apache Struts，Laravel和Windows等軟件。

目標安全漏洞為CVE-2014-6287，CVE-2018-1000861，CVE-2017-10271，CVE-2018-20062，CVE-2018-7600，CVE-2017-9791，CVE-2019-9081，PHPStudy后門RCE，CVE-2017-0144，CVE-2017-0145和CVE-2017-8464。

成功利用這些錯誤使攻擊者能夠在目標計算機上執行代碼。盡管解決這些問題的軟件更新已經發布了一段時間，但許多系統仍未打補丁并受到攻擊。

該惡意軟件包含三個資源部分，每個資源部分都包含一個用于特定目的的二進制文件：XMRig 5.5.0的x86和x64 UPX壓縮版本，以及Equation Group漏洞（EternalBlue和EternalRomance，以及DoublePulsar后門植入）。

一旦感染了計算機，Lucifer就會通過設置特定的注冊表項值來獲得持久性。該惡意軟件啟用了調試特權，并通過啟動多個線程開始運行。

為了進行傳播，惡意軟件掃描開放的TCP端口135（RPC）和1433（MSSQL），并嘗試通過嘗試使用常用的憑據來獲取訪問權限，使用Equation Group漏洞利用程序或使用HTTP請求來探測外部公開的系統。傳遞到已識別的易受攻擊的系統的有效負載會通過certutil獲取惡意軟件的副本。

在所有工作線程被啟動后，惡意軟件進入一個無限循環來處理C&C操作。基于從服務器接收的命令，它可以啟動TCP/UDP/HTTP DoS攻擊，下載和執行文件，執行命令，啟用/禁用礦機的狀態報告功能，啟用與礦機相關的標志，或重置標志并終止礦機。

基于10001端口的地層協議用于加密機器人與其挖掘服務器之間的通信。

該惡意軟件的升級版與其以前的版本具有相同的功能和行為，但還具有防沙箱功能，可根據預定義的列表檢查受感染主機的用戶名和計算機名稱，以及是否存在特定設備驅動程序，DLL和虛擬設備，如果找到匹配項，則暫停操作。它還包括反調試器功能。

Lucifer是加密劫持和DDoS惡意軟件的新混合物，它利用舊漏洞在Windows平臺上傳播和執行惡意活動。強烈建議將更新和補丁應用于受影響的軟件。