malware Lucifer использует множество эксплойтов,занимается майнингом и DDos-атаками

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 27 Jun 2020.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    139
    Likes Received:
    385
    Reputations:
    5
    Эксперты Palo Alto Networks подготовили отчет о малвари Lucifer, которая использует большое количество эксплойтов и, по словам специалистов, «сеет хаос» на Windows-хостах. Отмечается, что сами авторы вредоноса дали своему детищу имя Satan DDoS, но ИБ-специалисты называют его Lucifer, чтобы отличать шифровальщика Satan.

    Список эксплуатируемых малварью уязвимостей: CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, ThinkPHP RCE-узвимость (CVE-2018-20062), CVE-2018-7600, CVE-2017-9791, CVE-2019-9081, PHPStudy RCE-бэкдор, CVE-2017-0144, CVE-2017-0145 и CVE-2017-8464.
    Для большинства этих уязвимостей уже доступны патчи.

    «После использования эксплойтов злоумышленник может выполнять произвольные команды на уязвимом устройстве. Учитывая, что злоумышленники используют в пейлоаде утилиту certutil для распространения малвари, в данном случае целями выступают как Windows-хосты в Интернете, так и в интранете», — пишут исследователи.

    Lucifer также способен сканировать машины с открытыми портами TCP 135 (RPC) и 1433 (MSSQL) и проверять, не подойдут ли к ним определенные комбинации имен пользователей и паролей. Для брутфорс-атак малварь использует словарь с 300 паролями и всего семью именами пользователей: sa, SA, su, kisadmin, SQLDebugger, mssql и Chred1433.

    Исследователи утверждают, что вредонос способен заражать устройства с помощью IPC, WMI, SMB и FTP, при помощи брутфорса, а также с помощью MSSQL, RPC и network sharing.
    Lucifer contains three resource sections, each of which contains a binary for a specific purpose. The X86 resource section contains a UPX-packed x86 version of XMRig 5.5.0. The X64 resource section contains a UPX-packed x64 version of XMRig 5.5.0. The SMB section contains a binary, in which there’s a lot of Equation Group’s exploits like EternalBlue and EternalRomance, and of course the infamous DoublePulsar backdoor implant.

    X86: 8edbcd63def33827bfd63bffce4a15ba83e88908f9ac9962f10431f571ba07a8

    X64: Ac530d542a755ecce6a656ea6309717ec222c34d7e34c61792f3b350a8a29301

    SMB: 5214f356f2e8640230e93a95633cd73945c38027b23e76bb5e617c71949f8994

    Upon execution, the malware first decrypts its C2 IP address using a xor-incremental encryption and then creates a mutant, using its C2 IP address as the mutant’s name.

    The decrypted C2 IP address is 122[.]112[.]179[.]189.

    The name of the mutant object is \Sessions\1\BaseNamedObjects\122[.]112[.]179[.]189

    The pseudo-code for the decryption algorithm is shown in the figure below.

    [​IMG]
    Figure 1. Decryption routine
    The malware then proceeds to persist itself by setting the following registry key values.

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\QQMusic – %malware binary path%

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\QQMusic – %malware binary path%

    The binary also uses schtasks to set up itself as a task running periodically, ensuring additional layer of persistence. The command executed is shown in Figure 2.

    [​IMG]
    Figure 2. Execution of schtasks
    Once the malware has persisted itself, it then checks whether there’s any existing stratum mining information stored in the following registry key value:

    HKLM\Software\Microsoft\Windows\CurrentVersion\spreadCpuXmr – %stratum info%

    The mining information stored in this registry key value takes precedence if the data is present and legit. Otherwise, the malware falls back to its default data embedded in the binary.

    The malware enables itself with debug privilege and starts several threads to carry out its operation in concurrent fashion. The following table summarizes the function of each thread.

    Function Address Description
    0x0041C970 Clear event logs, remove a log file, terminate the miner process, and repeat its cleaning routine every 18000 second.
    0x00414B60 Collect interface info and send miner status to its C2 server.
    0x00419BC0 Check the remote address and remote port of all TCP connections. If there’s a match and the connection-owning process is not the malware itself and the process’s module path is not C:\ProgramData\spreadXfghij.exe, the malware kills that process and deletes that file. The allow list of ports and IP address are in the Appendix.
    0x0041A780 Get or initialize its miner parameter, kill miner and Taskmgr process if necessary, drop the miner binary, and execute the miner binary with the values of the arguments based on the host’s memory usage. Both the x86 or x64 bit version of the miner is saved as C:\\ProgramData\\spreadXfghij.exe
    0x00418DC0 Propagate through brute-forcing credentials and exploitation. Also drop the Equation Group’s exploits and launch them to propagate through exploiting years old SMB vulnerabilities.
    0x0041C840 Copy and save the malware as C:\\ProgramData\\spread.txt
    Table 1. Worker Thread Description

    The malware employs different propagation strategies.

    The malware scans for both open TCP ports 135 (RPC) and 1433(MSSQL) against the target, be it internal or external, and probes for the credential weakness in attempt to gain unauthorized access.

    If the target has the RPC port open, the malware brute-forces the login using the default username administrator and its embedded password list. It then copies and runs the malware binary on the remote host upon successful authentication.

    When the malware detects that the target has TCP port 1433 open, it tries to brute-force its way in using its embedded list of usernames and passwords. Upon successful login, the malware then issues shell commands to download and execute a replica of itself on the victim. The aforementioned list of usernames and passwords can be found in the appendix section.

    In addition to brute-forcing the credentials, the malware leverages exploitation for self-propagation. For intranet infection, it drops and runs EternalBlue, EternalRomance, and DoublePulsar backdoor against the target when the target has TCP port 445 (SMB) open. Upon successful exploitation, certutil is used to propagate the malware.

    The following figures show the parameters passed to launch the exploits and the backdoor implant.
    Проникнув в систему, Lucifer размещает там свою копию с помощь shell-команды, а также устанавливает XMRig для скрытного майнинга криптовалюты Monero (XMR). Судя по тому, что на кошельке преступников пока можно обнаружить лишь 0,493527 XMR (около 30 долларов США по текущему курсу), эксперты полагают, что вредоносная кампания только начинается.

    Также, закрепившись в системе, Lucifer подключается к управляющему серверу для получения команд, например, для запуска DDoS-атаки, передачи украденных системных данных или информирования своих операторов о состоянии майнера.

    Более новая версия малвари также поставляется с защитой от анализа и перед атакой проверяет имя пользователя и зараженной машины. Если Lucifer обнаруживает, что запущен в аналитической среде, он прекращает всякую активность.

     
    seostock likes this.
Loading...