情境示意圖,Photo by Artur Matosyan on unsplash

網路業者Palo Alto Networks的資安團隊Unit 42發現一支結合挖礦劫持(cryptojacking)及分散式阻斷服務攻擊(DDoS)能力的混種惡意程式,鎖定Windows平臺、Oracle WebLogic、Jenkins、Apache Struts的多項漏洞在網路上發動攻擊。目前攻擊仍在進行中。

這隻惡意程式作者自稱為Satan DDoS,但是為了和另一隻Satan勒索軟體區隔,Palo Alto研究人員於是將之命名為Lucifer。

Lucifer於6月中兩度針對Windows主機的CVE-2019-9081漏洞發動DDoS攻擊,並植入XMRig挖門羅幣(Monero)幣。經過分析,研究人員發現它具有相當複雜的能力。除了能在受害機器內進行挖礦外,還具備C&C連線、自我繁殖的能力。

為了自我複製,Lucifer會掃瞄主機的TCP port 135(RPC)及1433(MS SQL),然後進行密碼暴力破解,或是使用EnternalBlue、EternalRomance、DoublePulsar等後門程式。在本例中,它使用certutil指令複製到其他內網Windows機器上。

一旦進入受害機器,Lucifer即會和C&C伺服器建立連線,根據指令發動DoS/TCP/UDP攻擊、下載XMRig、關閉系統通報或啟動挖礦功能。

研究人員還發現,除了CVE-2019-9081外,Lucifer武裝化(攻擊)的漏洞也包括由「高」到「重大」不等的漏洞,如CVE-2014-6287、CVE-2018-1000861、 CVE-2017-10271、ThinkPHP RCE 漏洞(CVE-2018-20062)、CVE-2018-7600、CVE-2017-9791、PHPStudy Backdoor RCE、CVE-2017-0144、CVE-2017-0145及CVE-2017-8464。受到這些漏洞影響的軟體種類繁多,不只是Windows平臺,也包括Rejetto HTTP File Server、Jenkins、Oracle Weblogic、Drupal、Apache Struts、PHP框架Laravel framework。

所幸攻擊者的XMR錢包內目前僅挖到0.493527個Monero幣,約32美元。但是研究人員也警告Lucifer仍然在網路上流傳。一旦上述漏洞遭開採,可能讓攻擊者在受害機器上執行任意程式碼。

研究團隊還發現Lucifer第2版本。它和之前版本一樣能挖礦刼持、建立C&C連線、暴力破解密碼及自我繁殖增生之外,還具有反沙箱功能,即檢查感染主機的用戶名稱及電腦名稱,如果比對有符合預設的名稱,就會停止運作。另外版本2還有反debugger的手段,藉由傳送特殊字串來使debugger失靈。

研究團隊呼籲企業用戶應及早檢查使用的軟體平臺是否已補好漏洞,也建議用戶使用強密碼防範字典攻擊。


Advertisement

更多 iThome相關內容