Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Lucifer
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Lucifer
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Lucifer

Lucifer is a crypto miner and DDoS hybrid malware that leverages well-known exploits to spread laterally on Windows platforms.(Citation: Unit 42 Lucifer June 2020)
ID: S0532
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 16 Nov 2020
Last Modified: 01 Oct 2021

Techniques Used
Domain ID Name Use
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Lucifer can persist by setting Registry key values HKLM\Software\Microsoft\Windows\CurrentVersion\Run\QQMusic and HKCU\Software\Microsoft\Windows\CurrentVersion\Run\QQMusic.(Citation: Unit 42 Lucifer June 2020)
Enterprise T1110 .001 Brute Force: Password Guessing

Lucifer has attempted to brute force TCP ports 135 (RPC) and 1433 (MSSQL) with the default username or list of usernames and passwords.(Citation: Unit 42 Lucifer June 2020)
Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

Lucifer can issue shell commands to download and execute additional payloads.(Citation: Unit 42 Lucifer June 2020)
Enterprise T1573 .001 Encrypted Channel: Symmetric Cryptography

Lucifer can perform a decremental-xor encryption on the initial C2 request before sending it over the wire.(Citation: Unit 42 Lucifer June 2020)
Enterprise T1070 .001 Indicator Removal: Clear Windows Event Logs

Lucifer can clear and remove event logs.(Citation: Unit 42 Lucifer June 2020)
Enterprise T1027 .002 Obfuscated Files or Information: Software Packing

Lucifer has used UPX packed binaries.(Citation: Unit 42 Lucifer June 2020)
Enterprise T1021 .002 Remote Services: SMB/Windows Admin Shares

Lucifer can infect victims by brute forcing SMB.(Citation: Unit 42 Lucifer June 2020)
Enterprise T1053 .005 Scheduled Task/Job: Scheduled Task

Lucifer has established persistence by creating the following scheduled task schtasks /create /sc minute /mo 1 /tn QQMusic ^ /tr C:Users\%USERPROFILE%\Downloads\spread.exe /F.(Citation: Unit 42 Lucifer June 2020)
Enterprise T1497 .001 Virtualization/Sandbox Evasion: System Checks

Lucifer can check for specific usernames, computer names, device drivers, DLL's, and virtual devices associated with sandboxed environments and can enter an infinite loop and stop itself if any are detected.(Citation: Unit 42 Lucifer June 2020)

References

  1. Hsu, K. et al. (2020, June 24). Lucifer: New Cryptojacking and DDoS Hybrid Malware Exploiting High and Critical Vulnerabilities to Infect Windows Devices. Retrieved November 16, 2020.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.