Ένα υβριδικό botnet DDoS γνωστό για τη μετατροπή των ευάλωτων συσκευών των Windows σε Monero cryptomining bots, είναι τώρα επίσης επικίνδυνο και σε συστήματα Linux.
Ενώ οι δημιουργεί του botnet το ονόμασαν Satan DDoS, οι ερευνητές ασφαλείας το αποκαλούν Lucifer για να το διαφοροποιήσουν από το Satan ransomware.
Οι δημιουργοί του Lucifer έχουν επεκτείνει τις δυνατότητες της έκδοσης των Windows για να κλέβουν διαπιστευτήρια και να κλιμακώνουν τα προνόμια, χρησιμοποιώντας το Mimikatz post-exploitation tool.
Όταν εντοπίστηκε για πρώτη φορά από τους ερευνητές του Palo Alto Networks Unit 42 τον Μάιο, το κακόβουλο λογισμικό ήταν στην ουσία η ανάπτυξη ενός XMRig για υπολογιστές με Windows που έχουν μολυνθεί, χρησιμοποιώντας εξοπλισμό υψηλής και κρίσιμης σοβαρότητας όσον αφορά τα τρωτά σημεία, στα μηχανήματα που είχαν τις θύρες TCP 135 (RPC) και 1433 (MSSQL) ανοιχτές.
Παρόμοιες δυνατότητες με την έκδοση των Windows
Όπως αναφέρεται σε μια έκθεση που δημοσιεύθηκε σήμερα από ερευνητές της ομάδας ATLAS Security Engineering & Response (ASERT) της NETSCOUT, η έκδοση Linux που ανέβηκε στο VirusTotal στις 9 Ιουλίου του 2020, εμφανίζει το ίδιο μήνυμα με αυτό των Windows.
Η νέα έκδοση του Linux έρχεται με δυνατότητες παρόμοιες με το αντίστοιχο των Windows, συμπεριλαμβανομένων των ενοτήτων που έχουν σχεδιαστεί για cryptojacking και για την έναρξη TCP, UCP, και ICMP με βάση τις επιθέσεις flooding.
Επιπλέον, οι συσκευές Linux που έχουν μολυνθεί από το Lucifer μπορούν να χρησιμοποιηθούν και σε επιθέσεις DDoS που βασίζονται στο HTTP (επιθέσειε HTTP GET, POST-floods και HTTP ‘CC’ DDoS).
Ο πλήρης κατάλογος των επιθέσεων DDoS που μπορούν να ξεκινήσουν χρησιμοποιώντας συσκευές που έχουν προσβληθεί από το Lucifer είναι διαθέσιμη στον πίνακα που βλέπετε παρακάτω.
| Attack type | DDoS attack |
| Volumetric | TCP_Flood – TCP packets with SYN and ACK bits set, source IP, and port spoofed |
| UDPFlood – UDP packets with packet payload size set by the attacker | |
| DK_Flood – UDP packets with packet payload size set by the attacker | |
| WZUDP_Flood – UDP packets with source IP and port spoofed | |
| ICMPFlood – ICMP ping request packets with payload size set by the attacker | |
| State Exhaustion | SYNFlood – TCP packets with SYN bit set, source IP, and port spoofed |
| Tcp – TCP packets with SYN bit set | |
| Application Level Attacks | Get_CC – HTTP GET request, URL, Referer, and Host headers set by attacker |
| Post_CC – HTTP POST, URL, and Host header set by attacker | |
| postattack – HTTP POST, URL, and Host header set by attacker | |
| CCAttack – HTTP GET request, URL, and Host header set by attack | |
| MNAttack – HTTP GET request, URL, and Host header set by attack; REMOTE_ADDR, HTTP_CLIENT_IP, and HTTP_X_FOR headers are spoofed | |
| HEAD – HTTP HEAD request, URL, and Host header set by attacker; Referer is set by the bot. |
Όλο και πιο επικίνδυνο γίνεται το botnet μεταξύ των πλατφορμών
Προσθέτοντας υποστήριξη για πρόσθετες πλατφόρμες, οι δημιουργοί του Lucifer φροντίζουν να μπορούν να επεκτείνουν τον συνολικό αριθμό των συσκευών που ελέγχονται από το botnet τους.
Αυτό μεταφράζεται σε πολύ περισσότερα κρυπτονομίσματα που θα εξορύσσονται από το botnet στο μέλλον. Τον Μάιο, όταν εντοπίστηκε για πρώτη φορά, τα πορτοφόλια κρυπτονομισμάτων του Lucifer περιείχαν μόνο $ 30 σε Monero, από επικίνδυνες επιθέσεις DDoS που είχαν ξεκινήσει πιθανότατα σε στόχους.
“Εκ πρώτης όψεως, ένα υβριδικό cryptojacker/DDoS bot φαίνεται να είναι λίγο ασυνήθιστο, αλλά επιτρέπει στους ελεγκτές να εκπληρώσουν τις ανάγκες τους με τη μία, αντί να τους αναγκάζει να χρησιμοποιούν booter/stresser υπηρεσίες ή άλλα botnets DDoS.”
