關(guān)鍵詞 木馬“進(jìn)化”
根據(jù)Microsoft 365 Defender Threat Intelligence團(tuán)隊(duì)的說(shuō)法,LemonDuck已經(jīng)從Monero cryptominer演變?yōu)長(zhǎng)emonCat,,這是一種專門(mén)從事后門(mén)安裝,、盜竊憑證和數(shù)據(jù)以及惡意軟件交付的特洛伊木馬。該團(tuán)隊(duì)在Microsoft安全博客上發(fā)表了一篇分為[1],、[2]兩個(gè)部分的文章,,其中解釋了他們的發(fā)現(xiàn)。
LemonDuck
Trojan.LemonDuck是一種先進(jìn)的加密礦工,,正在積極更新新的漏洞利用和混淆技巧,,它的目標(biāo)是通過(guò)其無(wú)文件礦工來(lái)逃避檢測(cè),。LemonDuck對(duì)企業(yè)的威脅還在于它是一種跨平臺(tái)威脅。它是為數(shù)不多的針對(duì)Linux系統(tǒng)和Windows設(shè)備的有文檔記錄在案的bot系列之一,。
Trojan.LemonDuck使用多種方法進(jìn)行初始感染和跨網(wǎng)絡(luò)傳播:
?Malspam:電子郵件通常包含兩個(gè)文件,,一個(gè)利用CVE-2017-8570的Word文檔和一個(gè)帶有惡意JavaScript的zip存檔。
服務(wù)器消息塊(SMB)漏洞:Trojan.LemonDuck利用EternalBlue和SMBGhost漏洞來(lái)破壞主機(jī)并傳播到網(wǎng)絡(luò)中的其他計(jì)算機(jī),。
RDP暴力破解:Trojan.LemonDuck的RDP模塊掃描端口3389上偵聽(tīng)的服務(wù)器,,并嘗試從密碼列表中以用戶“管理員”身份登錄。
SSH暴力破解:Trojan.LemonDuck掃描偵在端口22上偵聽(tīng)的計(jì)算機(jī),,并使用密碼列表和“root”用戶名執(zhí)行暴力攻擊,。
LNK漏洞:通過(guò)包含惡意。LNK文件的USB可移動(dòng)驅(qū)動(dòng)器利用漏洞CVE-2017-8464,。
ProxyLogon:一種針對(duì)Exchange服務(wù)器的漏洞利用,,允許未經(jīng)身份驗(yàn)證的攻擊者在易受攻擊的服務(wù)器上執(zhí)行任意命令。
LemonDuck不僅限于新的或流行的漏洞,。它繼續(xù)利用一些傳統(tǒng)的漏洞,當(dāng)重點(diǎn)轉(zhuǎn)移到修補(bǔ)流行漏洞而不是調(diào)查妥協(xié)時(shí),,這有時(shí)會(huì)使攻擊者受益,。值得注意的是,LemonDuck通過(guò)清除競(jìng)爭(zhēng)性惡意軟件并通過(guò)修補(bǔ)用于獲取訪問(wèn)權(quán)限的相同漏洞來(lái)防止任何新感染,,從而將其他攻擊者從受感染設(shè)備中移除,。
歷史
關(guān)于LemonDuck的最早記錄來(lái)自其2019年5月的加密貨幣活動(dòng)。它以其在一個(gè)PowerShell腳本中使用的變量“Lemon_Duck”命名,,該腳本使用了計(jì)劃任務(wù)啟動(dòng)的其他腳本,。該任務(wù)用于引入PCASTLE工具以實(shí)現(xiàn)以下幾個(gè)目標(biāo):濫用EternalBlue SMB漏洞,以及使用暴力或傳遞哈希橫向移動(dòng)并再次開(kāi)始操作,。今天,,在LemonDuck的活動(dòng)中仍然可以觀察到許多這樣的行為。
進(jìn)化
2021年,,LemonDuck活動(dòng)開(kāi)始使用更多樣化的命令和控制(C2)基礎(chǔ)設(shè)施和工具,。此更新支持手動(dòng)入侵后參與的顯著增加,這取決于受感染設(shè)備對(duì)攻擊者的感知價(jià)值,。這并不意味著它停止使用基于防彈托管服務(wù)提供商的舊基礎(chǔ)設(shè)施,,即使它們被報(bào)告有惡意行為,它們也不太可能使LemonDuck基礎(chǔ)設(shè)施的任何部分脫機(jī),。這使得LemonDuck能夠持續(xù)存在并繼續(xù)構(gòu)成威脅,。
LemonCat
LemonCat的名字來(lái)源于LemonDuck于2021年1月開(kāi)始使用的兩個(gè)帶有“cat”一詞的域(sqlnetcat[.]com、netcatkit[.]com),。包含這些域的基礎(chǔ)結(jié)構(gòu)被用于攻擊Microsoft Exchange Server中的漏洞,。這些攻擊通常會(huì)導(dǎo)致后門(mén)安裝,、憑據(jù)和數(shù)據(jù)被盜以及惡意軟件傳播。大家經(jīng)??吹剿鼈鞑阂廛浖amnit,。
一旦進(jìn)入帶有Outlook郵箱的系統(tǒng),LemonDuck就會(huì)嘗試運(yùn)行一個(gè)利用設(shè)備上存在的憑據(jù)的腳本,。該腳本指示郵箱向所有聯(lián)系人發(fā)送帶有預(yù)設(shè)郵件和附件的網(wǎng)絡(luò)釣魚(yú)郵件副本,。這繞過(guò)了許多電子郵件安全策略,例如那些放棄掃描內(nèi)部郵件或確定電子郵件是否來(lái)自可疑或未知發(fā)件人的策略,。發(fā)送電子郵件后,,惡意軟件會(huì)刪除此類活動(dòng)的所有痕跡,使用戶覺(jué)得好像什么都沒(méi)有發(fā)送過(guò),。這種自我傳播方法會(huì)在任何具有郵箱的受影響設(shè)備上嘗試,,無(wú)論它是否是Exchange服務(wù)器。
人工和自動(dòng)滲透
自動(dòng)感染,,如來(lái)自惡意垃圾郵件的感染,,會(huì)啟動(dòng)一個(gè)PowerShell腳本,從C&C服務(wù)器中提取額外的腳本,。一旦病毒獲得持久性,,它的第一步是禁用或刪除一系列安全產(chǎn)品,如Microsoft Defender for Endpoint,、Eset,、Kaspersky、Avast,、Norton Security和Malwarebytes,。他們還嘗試卸載名稱中帶有“Security”和“AntiVirus”的任何產(chǎn)品。
從這里開(kāi)始,,根據(jù)目標(biāo)吸引力的不用,,方法也有所不同。LemonDuck利用了大量的免費(fèi)和開(kāi)源滲透測(cè)試工具,。LemonDuck在安裝時(shí)使用腳本,,在安裝后反復(fù)使用腳本掃描端口并執(zhí)行網(wǎng)絡(luò)偵察。然后它嘗試登錄到相鄰設(shè)備以推送初始的LemonDuck執(zhí)行腳本,。在此橫向移動(dòng)組件中使用的另一個(gè)工具是捆綁的Mimikatz,,它位于與“Cat”和“Duck”基礎(chǔ)架構(gòu)相關(guān)的mimi.dat文件中。此工具的功能是為了便于憑據(jù)盜竊以進(jìn)行其他操作,。感染腳本最常見(jiàn)的名稱是IF.Bin,。結(jié)合憑據(jù)盜竊,IF.Bin會(huì)刪除額外的。BIN文件以利用常見(jiàn)的服務(wù)漏洞,,例如CVE-2017-8464從而增加特權(quán),。
在安裝過(guò)程中及之后,LemonDuck會(huì)不遺余力地從設(shè)備中刪除所有其他僵尸網(wǎng)絡(luò),、礦工和競(jìng)爭(zhēng)對(duì)手的惡意軟件,。它通過(guò)一個(gè)名為KR.Bin的腳本來(lái)實(shí)現(xiàn)這一點(diǎn)。該腳本試圖通過(guò)計(jì)劃任務(wù)從數(shù)十個(gè)競(jìng)爭(zhēng)對(duì)手的惡意軟件中刪除服務(wù),、網(wǎng)絡(luò)連接和其他證據(jù),。它還關(guān)閉了著名的挖礦端口,并刪除了流行的挖礦服務(wù)以保護(hù)系統(tǒng)資源,,甚至還刪除了它打算使用的挖礦服務(wù),,然后使用自己的配置重新安裝它。
緩解
一些特定且更通用的緩解技術(shù):
禁止在敏感端點(diǎn)上使用可移動(dòng)存儲(chǔ)設(shè)備或至少禁用自動(dòng)運(yùn)行,。
確保您的系統(tǒng)已完全修補(bǔ)并受到保護(hù),,以防止針對(duì)SMB、SSH,、RDP,、SQL等流行服務(wù)的暴力攻擊。
啟用防篡改保護(hù),,以便惡意軟件無(wú)法禁用或卸載您的反惡意軟件,。
不要禁用對(duì)潛在有害程序(PUP)的檢測(cè),因?yàn)橐恍┓磹阂廛浖⒓用艿V工分類為潛在有害程序,。
阻止與已知惡意域和IP地址的連接,。
查看基于允許的發(fā)件人地址的電子郵件掃描規(guī)則,,因?yàn)榇藧阂廛浖梢允褂檬苄湃蔚陌l(fā)件人地址,。
大家注意安全!
