Rudeminer&Blacksquid和Lucifer恶意软件分析
字数 1166 2025-08-15 21:32:16

Lucifer恶意软件家族分析报告

概述

Lucifer是一款多平台恶意软件,最初作为Windows加密货币挖矿软件出现,现已发展为针对Windows、Linux和物联网设备的综合威胁。本报告详细分析其技术特点、传播方式及演变过程。

恶意软件演变时间线

  • 2018年底:BlackSquid活动开始,使用早期XMR钱包
  • 2020年2月:新活动样本首次出现在VirusTotal
  • 2020年5月:ARM架构样本出现
  • 2020年10月:多平台攻击能力成熟

技术特性分析

多平台支持

  • Windows版本:自我传播的挖矿软件,后增加DDoS功能
  • Linux版本:针对服务器环境
  • IoT版本:针对ARM和MIPS架构设备(如Dasan GPON路由器)

功能模块

  1. 加密货币挖矿

    • 使用XMRig miner挖掘门罗币
    • 自定义矿池配置:stratum+tcp://[Miner pool address]:[port]

  2. DDoS攻击

    • 基于"Storm Attack Tool VIP 2009"中文DDoS工具
    • 支持多种DDoS攻击类型

  3. 远程控制

    • 完整C2功能
    • 可下载执行任意文件
    • 执行远程命令

  4. 传播机制

    • 利用已知漏洞(如CVE-2018-10561)
    • 暴力破解攻击
    • 局域网传播

关联恶意活动

BlackSquid

  • 使用相同互斥模式:BlacksquidXMR
  • 钱包地址关联:44ygo7VfwEYdEbe1ruyZNLfrV19snk3REQpfb5LU9Yxf98z7Ws9EZPPbUgvozZyfYXCb3vsRJRT8wTGe3FipsLb93NaDULN

Rudeminer/Spreadminer

  • 使用相同钱包地址
  • 自定义XMR矿池配置

攻击指标(IoC)

C2服务器

122.112.179.189
guyeyuyu.com
qianduoduo.pw
qf2020.top
tyz2020.top

样本哈希

Linux样本

53c2a0f3c3775111cbf8c09cd685e44a434bdd2d4dc0b9af18266083fb4b41e8
82934ed1f42986bdad8e78049e27fcb0b8e43a5b0b9332aa913b901c7344cbc6
ebcaed78aab7b691735bb33d5c33dd6dd447a0a538ff84d0d115c2b35831d43d

ARM样本

3ea56bcf897cb8909869e1bfc35f47e1c8a454dd891c5396942c1255aa09b0ce

门罗币钱包

44ygo7VfwEYdEbe1ruyZNLfrV19snk3REQpfb5LU9Yxf98z7Ws9EZPPbUgvozZyfYXCb3vsRJRT8wTGe3FipsLb93NaDULN
45sep79Asuwcjz8dLTu7XtJBTX7yYf7uo6qT9ymFBQXv8gjZsDPyd46Hoh6DM8pAXkLnsw9U7veZWU1DqMjKRoryAn3zEq1

传播方式

Windows系统

  • 利用公开漏洞
  • 暴力破解弱密码
  • 通过gh0st RAT变种进行横向移动

IoT设备

  • 主要利用CVE-2018-10561(Dasan GPON路由器漏洞)
  • 针对未打补丁的设备

防御建议

  1. 补丁管理

    • 及时更新所有系统和设备补丁
    • 特别关注Dasan GPON路由器的CVE-2018-10561漏洞

  2. 密码策略

    • 实施强密码策略
    • 禁用默认凭证

  3. 网络监控

    • 监控异常外连(特别是矿池连接)
    • 检测DDoS攻击流量模式

  4. 样本检测

    • 部署针对已知IoC的检测规则
    • 关注互斥量BlacksquidXMR

  5. 加密货币监控

    • 监控与已知恶意钱包地址的交易

总结

Lucifer恶意软件家族展示了现代恶意软件的典型演变路径:从单一功能的挖矿软件发展为多平台、多功能的综合威胁。攻击者持续更新代码库,增加新功能并扩大攻击面。防御者需要采取多层次的安全措施,特别关注未打补丁系统和弱密码问题。

Lucifer恶意软件家族分析报告 概述 Lucifer是一款多平台恶意软件,最初作为Windows加密货币挖矿软件出现,现已发展为针对Windows、Linux和物联网设备的综合威胁。本报告详细分析其技术特点、传播方式及演变过程。 恶意软件演变时间线 2018年底 :BlackSquid活动开始,使用早期XMR钱包 2020年2月 :新活动样本首次出现在VirusTotal 2020年5月 :ARM架构样本出现 2020年10月 :多平台攻击能力成熟 技术特性分析 多平台支持 Windows版本 :自我传播的挖矿软件,后增加DDoS功能 Linux版本 :针对服务器环境 IoT版本 :针对ARM和MIPS架构设备(如Dasan GPON路由器) 功能模块 加密货币挖矿 使用XMRig miner挖掘门罗币 自定义矿池配置: stratum+tcp://[Miner pool address]:[port] DDoS攻击 基于"Storm Attack Tool VIP 2009"中文DDoS工具 支持多种DDoS攻击类型 远程控制 完整C2功能 可下载执行任意文件 执行远程命令 传播机制 利用已知漏洞(如CVE-2018-10561) 暴力破解攻击 局域网传播 关联恶意活动 BlackSquid 使用相同互斥模式: BlacksquidXMR 钱包地址关联: 44ygo7VfwEYdEbe1ruyZNLfrV19snk3REQpfb5LU9Yxf98z7Ws9EZPPbUgvozZyfYXCb3vsRJRT8wTGe3FipsLb93NaDULN Rudeminer/Spreadminer 使用相同钱包地址 自定义XMR矿池配置 攻击指标(IoC) C2服务器 样本哈希 Linux样本 : ARM样本 : 门罗币钱包 传播方式 Windows系统 利用公开漏洞 暴力破解弱密码 通过gh0st RAT变种进行横向移动 IoT设备 主要利用CVE-2018-10561(Dasan GPON路由器漏洞) 针对未打补丁的设备 防御建议 补丁管理 及时更新所有系统和设备补丁 特别关注Dasan GPON路由器的CVE-2018-10561漏洞 密码策略 实施强密码策略 禁用默认凭证 网络监控 监控异常外连(特别是矿池连接) 检测DDoS攻击流量模式 样本检测 部署针对已知IoC的检测规则 关注互斥量 BlacksquidXMR 加密货币监控 监控与已知恶意钱包地址的交易 总结 Lucifer恶意软件家族展示了现代恶意软件的典型演变路径:从单一功能的挖矿软件发展为多平台、多功能的综合威胁。攻击者持续更新代码库,增加新功能并扩大攻击面。防御者需要采取多层次的安全措施,特别关注未打补丁系统和弱密码问题。