Luminrat trójai

CH azonosító

CH-12756

Angol cím

Luminrat trojan

Felfedezés dátuma

2015.11.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Luminrat kettős céllal fertőz. Egyrészt egy hátsó ajtót nyit a számítógépeken, másrészt pedig adatszivárogtatásból veszi ki a részét.

Leírás

Az egyetlen feltűnőbb ismertetőjele, hogy a rendszermeghajtó gyökérkönyvtárába létrehozott, véletlenszerű névvel ellátott mappába másolja be az állományait.

A Luminrat a következő feladatok elvégzésére alkalmas:

  • fájlok letöltése és futtatása
  • hang- és videófelvételek készítése
  • távoli asztali kapcsolat létesítése
  • parancssorhoz való hozzáférés biztosítása
  • a hosts fájl manipulálása
  • proxy létesítése
  • a Feladatkezelő letiltása
  • DDoS támadásokba való bekapcsolódás
  • a saját fájljainak frissítése.

Technikai részletek

1. Létrehozza a következő mappát:
%SystemDrive%[véletlenszerű karakterek][véletlenszerű karakterek]1

2. A fenti könyvtárba bemásol egy helper.exe nevű állományt.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USERSoftware”Xmy8Wrx1nWVOj522YFIamQ==” = “[…]”
HKEY_CURRENT_USERSoftware”UeE/t8o052EAyeZxeEkWIg==” = “[…]”

4. Nyit egy hátsó kaput a 7189-es TCP porton keresztül.

5. Végrehajtja a támadók parancsait.

6. Megpróbál postafiókokhoz, illetve FTP-szerverekhez tartozó hitelesítő adatokat kiszivárogtatni.


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »