依据Microsoft 365 Defender Threat Intelligence精英团队的观点,LemonDuck早已从Monero cryptominer演化为LemonCat,这也是一种专业侧门安裝、偷盗凭据和数据信息及其恶意程序交货的特洛伊木马。该队伍在Microsoft安全性blog上刊登了一篇分成[1]、[2]2个一部分的文章内容,在其中表述了他俩的发觉。
LemonDuck
Trojan.LemonDuck是一种优秀的数据加密矿工,已经积极主动升级新的漏洞利用和搞混方法,它的总体目标是根据其无文档矿工来躲避检验。LemonDuck对公司的威胁还源于它是一种混合开发威胁。它是少有的对于Linux系统软件和Windows机器设备的有文本文档处理完毕的bot系列产品之一。Trojan.LemonDuck应用各种方式 开展原始感柒和跨媒体传播:
- Malspam:电子邮箱通常包括2个文档,一个利用CVE-2017-8570的Word文件和一个含有故意JavaScript的zip归档。
- 网络服务器信息块(SMB)漏洞:Trojan.LemonDuck利用EternalBlue和SMBGhost漏洞来毁坏服务器并散播到互联网中的别的电子计算机。
- RDP暴力破解密码:Trojan.LemonDuck的RDP控制模块扫描端口3389上监听的网络服务器,并试着从登陆密码列表中以客户“管理人员”真实身份登陆。
- SSH暴力破解密码:Trojan.LemonDuck扫描仪侦在端口号22上监听的电子计算机,并应用登陆密码列表和“root”登录名实行暴力行为进攻。
- LNK漏洞:根据包括故意.LNK文档的USB可挪动控制器利用漏洞CVE-2017-8464。
- ProxyLogon:一种对于Exchange网络服务器的漏洞利用,容许没经身份认证的网络攻击在易受攻击的网络服务器上实行随意指令。
LemonDuck不但局限于新的或时髦的漏洞。它再次利用一些传统化的漏洞,当关键迁移到修复时兴漏洞而不是调研让步时,这偶尔会使网络攻击获益。特别注意的是,LemonDuck根据消除竞争恶意程序并根据修复用以获得访问限制的同样漏洞来避免一切新感柒,进而将别的网络攻击从受感柒机器设备中清除。
历史时间
有关LemonDuck的最开始纪录来源于其2019年5月的数字货币主题活动。它以其在一个PowerShell脚本制作中采用的自变量“Lemon_Duck”取名,该脚本制作应用了任务计划运行的别的脚本制作。该每日任务用以引进PCASTLE专用工具以满足下列好多个总体目标:乱用EternalBlue SMB漏洞,及其恐吓威胁或传送hach横着挪动并再度逐渐实际操作。今日,在LemonDuck的活動中依然可以留意到很多那样的个人行为。
演变
2021年,LemonDuck主题活动逐渐采用更多元化的指令和操纵(C2)基础设施建设和专用工具。此升级适用手动式侵入后参加的明显提升,这在于受感柒机器设备对网络攻击的感知价值。这并不代表它停用根据EXO代管服务提供商的旧基础设施建设,即使他们被汇报有故意个人行为,他们也不可能使LemonDuck基础设施建设的其他一部分离线。这促使LemonDuck可以不断存有并再次组成威胁。
LemonCat
LemonCat的名称来自LemonDuck于2021年1月逐渐应用的2个含有“cat”一词的域(sqlnetcat[.]com、netcatkit[.]com)。包括这种域的根本构造被用来进攻Microsoft Exchange Server中的漏洞。这种进攻通常会造成侧门安裝、凭证和数据信息失窃及其恶意程序散播。大伙儿常常看见它散播恶意程序Ramnit。
一旦进到含有Outlook电子邮箱的系统软件,LemonDuck便会试着运作一个利用机器设备上具有的凭证的脚本制作。该脚本标示电子邮箱向全部手机联系人推送含有预置电子邮件和配件的互联网钓鱼邮件团本。这绕开了很多电子邮箱安全设置,例如这些舍弃扫描仪内部邮件或明确电子邮箱是不是来源于异常或不明发件人的对策。推送电子邮箱后,恶意程序会删掉该类运动的全部印痕,使客户感觉仿佛啥都没有推送过。这类自身散播方式会在一切具备电子邮箱的受影响机器设备上试着,无论它是不是Exchange网络服务器。
人力和全自动渗入
全自动感柒,如来源于故意垃圾短信的感柒,会运行一个PowerShell脚本制作,从C&C网络服务器中获取附加的脚本制作。一旦病毒感染得到持续性,它的第一步是禁止使用或删掉一系列网络安全产品,如Microsoft Defender for Endpoint、Eset、Kaspersky、Avast、Norton Security和Malwarebytes。她们还试着卸载掉名字中含有“Security”和“AntiVirus”的其他商品。
从这里开始,依据总体目标诱惑力的无需,方式也各有不同。LemonDuck利用了大批量的完全免费和开源系统渗透测试工具。LemonDuck在安装使用时应用脚本制作,在组装后不断应用脚本制作扫描端口并实行互联网侦查。随后它试着登陆到邻近机器设备以消息推送原始的LemonDuck实行脚本制作。在这里横着挪动部件中采用的另一个专用工具是捆缚的Mimikatz,它坐落于与“Cat”和“Duck”基础架构有关的mimi.dat文档中。此专用工具的功用是因为有利于凭证偷盗以开展其它实际操作。感柒脚本制作最多见的名字是IF.Bin。融合凭证偷盗,IF.Bin会删掉附加的.BIN文件以利用普遍的服务项目漏洞,例如CVE-2017-8464进而提升权利。
在组装全过程以及以后,LemonDuck会竭尽全力地从机器设备中删掉全部别的僵尸网络、矿工和对手的恶意程序。它经过一个名叫KR.Bin的脚本制作来完成这一点。该脚本制作尝试根据任务计划从数十个竞争者的恶意程序中删除服务、数据连接和别的直接证据。它还关上了广为人知的挖币端口号,并删除了时兴的挖币服务项目以维护服务器资源,乃至还删除了它准备应用的挖币服务项目,随后应用自身的配备重装它。
减轻
一些特殊且更常用的减轻技术性:
- 禁止在比较敏感节点上应用可移动存储设备或最少禁止使用自启动。
- 保证您的操作系统已彻底修复并遭受维护,以避免对于SMB、SSH、RDP、SQL等时兴服务项目的暴力行为进攻。
- 开启防伪造维护,便于恶意程序没法禁止使用或卸载掉您的反恶意程序。
- 不必禁止使用对潜在性有危害程序流程(PUP)的检验,由于一些反恶意程序将数据加密矿工归类为潜在性有危害程序流程。
- 阻拦与已经知道故意域和IP地址的联接。
- 查询根据容许的发件人详细地址的电子邮箱扫描仪标准,由于此恶意程序可以应用受信赖的发件人详细地址。
大伙儿确保安全!
文中翻譯自:https://blog.malwarebytes.com/botnets/2021/07/lemonduck-no-longer-settles-for-breadcrumbs/倘若转截,请标明全文详细地址。