该僵尸 络在涉及CVE-2019-9081利用的多次事件之后引起了Palo Alto Networks部门研究人员的注意,CVE-2019-9081是Laravel Web框架组件中的一个严重漏洞,可能导致远程代码执行。
5月29日发现了Lucifer的变体。该活动于6月10日停止,但第二天才恢复使用僵尸 络的更新版本。
最初,该恶意软件被认为可用于加密货币挖掘(Monero),但后来变得很明显,它还具有DDoS组件以及通过利用严重漏洞和暴力破解的自我传播机制。
Shadow Brokers黑客组织通过EternalBlue,EternalRomance和DoublePulsar漏洞可以在 络上传播。下面提供了Lucifer操作员使用的武器利用漏洞的列表,并且已对所有漏洞进行了修补:
“一旦被利用,攻击者就可以在易受攻击的设备上执行任意命令。在这种情况下,假设攻击者利用有效载荷中的certutil实用程序进行恶意软件传播,目标是Internet和Intranet上的Windows主机。”-第42单元
对于暴力攻击,该恶意软件依赖于具有300个密码和仅七个用户名的词典:“ sa”,“ SA”,“ su”,“ kisadmin”,“ SQLDebugger”,“ mssql”和“ Chred1433””。
除了在内部进行传播的三个漏洞外,Lucifer还可以扫描打开TCP端口135(RPC)和1433(MSSQL)的计算机,并在其字典中测试用户名/密码组合。
进入后,恶意软件会通过shell命令植入其自身的副本。较新版本的僵尸 络恶意软件具有反分析保护功能,并在继续进行操作之前检查受感染计算机的用户名和计算机名。
如果找到与分析环境相对应的非友好名称,则其活动将停止。
尽管有这些功能,路西法背后的威胁者还是拥有一个加密货币钱包,仅带有0.493527 XMR-以当前汇率约合30美元,这表明它才刚刚开始。第42单元将Lucifer标记为“加密劫持和DDoS恶意软件变体的新混合物,它利用旧漏洞在Windows平台上传播和执行恶意活动。”
用最新的补丁更新软件应该可以大大提高组织抵御此类威胁的安全性。将此密码与强密码结合使用可防止字典攻击,并且该环境应免受大多数恶意软件的侵害。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!