Számítógépekre csapott le Lucifer

​Egy meglehetősen komplex felépítésű kártékony program terjed egyre nagyobb számban. Rendszerek megbénítása mellett kriptobányászatra is alkalmas.
 

A Palo Alto Networks biztonsági kutatói május végén fedezték fel a Lucifer nevű kártékony programot. A károkozónak azóta egy újabb variánsa is feltűnt, amely ellen egy fokkal nehezebb védekezni.
 
A Lucifer alapvetően két olyan funkcióval rendelkezik, amivel károkat, illetve bosszúságot okozhat. Az első szolgáltatásmegtagadási támadásokban való részvételt tehet lehetővé, míg a másik kriptobányászatba vonja be a fertőzött számítógépeket. A károkozó az utóbbi ténykedéséhez az XMRig nevű, nyílt forráskódú szoftvert telepíti fel, aminek révén Monero bányászatra válik alkalmassá.
 
Sebezhetőségekre éhesen
 
A Lucifer fontos jellemzője, hogy a terjedéséről megpróbál saját maga gondoskodni. Ennek során elsősorban szoftveres sebezhetőségeket fordít a saját javára. Alapvetően olyan exploitokkal próbálkozik, amik jól ismert biztonsági rések kihasználására alkalmasak. Ezek közé tartozik az EternalBlue, az EternalRomance és a DoublePulsar is. Mindezek mellett azonban további biztonsági rések kiaknázására is felkészítették a készítői, amelyek révén a következő szoftvereket tudja ostromolni:

• Rejetto HTTP File Server
• Jenkins
• Oracle Weblogic
• Drupal
• Apache Struts
• Laravel
• Windows.

 
A fentiek miatt a károkozó elleni védekezés egyik kulcsa a naprakészen tartott operációs rendszerek és alkalmazások használata.
 
A kártékony program a fertőzött számítógépeken manipulálja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindítását követően automatikusan be tudjon töltődni. Ezt követően elkezdi szkennelni a 135 (RPC) és a 1433 (MSSQL) portokat, amivel további célpontokat próbál felkutatni, majd egyebek mellett adatbázisokhoz (gyakran használt felhasználónév/jelszó kombinációkkal) hozzáférést igyekszik szerezni. A támadása során a certutil eszközt is felhasználhatja.
 
A Lucifer a vezérlőszerverével Stratum protokollon (10001-es porton) kommunikál. A kiszolgálójáról rendszeresen parancsokat fogad, amik többek között TCP/UDP/HTTP alapú szolgáltatásmegtagadási támadások kezdeményezésére utasíthatják a kártevőt. Ugyanakkor a támadók olyan parancsokat is kiadhatnak, amik hatására a károkozó programokat futtathat, különféle műveleteket hajthat végre, elindíthatja vagy leállíthatja a kriptopénz bányászatot.
 
A biztonsági kutatók szerint a Lucifer legújabb variánsa mindenben követi az elődje által kitaposott utat. Emellett azonban egy anti-sandbox összetevővel is rendelkezik, ami képes felismerni, ha a kártevő olyan virtualizált vagy sandbox környezetbe kerül, amely a vizsgálatát (leleplezését) szolgálhatja. Ilyen esetekben a kártevő azonnal leállítja saját magát.