Хакер #305. Многошаговые SQL-инъекции
Эксперты Palo Alto Networks подготовили отчет о малвари Lucifer, которая использует множество эксплоитов и, по словам специалистов, «сеет хаос» на Windows-хостах. Отмечается, что сами авторы вредоноса дали своему детищу имя Satan DDoS, но ИБ-специалисты называют его Lucifer, чтобы отличать шифровальщика Satan.
Ботнет Lucifer привлек внимание исследователей после многочисленных инцидентов, связанных с эксплуатацией критической уязвимости CVE-2019-9081 во фреймворке Laravel, которая может привести к удаленному выполнению произвольного кода.
Вариант малвари, использующий CVE-2019-9081, был замечен 29 мая 2020 года, после чего кампания прекратилась 10 июня и возобновилась через несколько дней, но уже с обновленной версией вредоноса.
Если изначально считалось, что малварь достаточно проста и предназначена для майнинга криптовалюты (Monero), то теперь стало ясно, что Lucifer также имеет DDoS-компонент и механизм самораспространения, построенный на использовании ряда серьезных уязвимостей и брутфорса.
Для распространения по сети Lucifer использует такие известные эксплоиты, как EternalBlue, EternalRomance и DoublePulsar, похищенные у спецслужб и в 2017 году опубликованные в открытом доступе группировкой The Shadow Brokers. Но одним лишь этим злоумышленники не ограничиваются, поэтому список эксплоитов, взятых Lucifer на вооружение, выглядит следующим образом:
- CVE-2014-6287
- CVE-2018-1000861
- CVE-2017-10271
- CVE-2018-20062 (RCE-уязвимость вThinkPHP)
- CVE-2018-7600
- CVE-2017-9791
- CVE-2019-9081
- RCE-бэкдор в PHPStudy
- CVE-2017-0144
- CVE-2017-0145
- CVE-2017-8464
Стоит отметить, что все эти уязвимости уже исправлены, и патчи для них доступны.
«После использования эксплоитов злоумышленник может выполнять произвольные команды на уязвимом устройстве. Учитывая, что злоумышленники используют в пейлоаде утилиту certutil для распространения малвари, в данном случае целями выступают как Windows-хосты в Интернете, так и в интранете», — пишут исследователи.
Lucifer также способен сканировать машины с открытыми портами TCP 135 (RPC) и 1433 (MSSQL) и проверять, не подойдут ли к ним определенные комбинации имен пользователей и паролей. Для брутфорс-атак малварь использует словарь с 300 паролями и всего семью именами пользователей: sa, SA, su, kisadmin, SQLDebugger, mssql и Chred1433.
Исследователи утверждают, что вредонос способен заражать устройства с помощью IPC, WMI, SMB и FTP, при помощи брутфорса, а также с помощью MSSQL, RPC и network sharing.
Проникнув в систему, Lucifer размещает там свою копию с помощь shell-команды, а также устанавливает XMRig для скрытного майнинга криптовалюты Monero (XMR). Судя по тому, что на кошельке преступников пока можно обнаружить лишь 0,493527 XMR (около 30 долларов США по текущему курсу), эксперты полагают, что вредоносная кампания только начинается.
Также, закрепившись в системе, Lucifer подключается к управляющему серверу для получения команд, например, для запуска DDoS-атаки, передачи украденных системных данных или информирования своих операторов о состоянии майнера.
Более новая версия малвари также поставляется с защитой от анализа и перед атакой проверяет имя пользователя и зараженной машины. Если Lucifer обнаруживает, что запущен в аналитической среде, он прекращает всякую активность.