根据Microsoft365Defender威胁情报团队的说法,LemonDuck已经从门罗币挖矿程序进化为LemonCat,这是一种专门从事后门安装、窃取凭据和数据以及恶意软件传播的特洛伊木马。该团队在Microsoft安全博客上的一篇分为两部分的[1]、[2]文章中解释了他们的发现。柠檬鸭木马。LemonDuck是一种高级加密矿工,正在积极更新新的漏洞利用和混淆技巧,旨在通过其无文件矿工逃避检测。LemonDuck对企业也是一种威胁,因为它是一种跨平台威胁。它是为数不多的同时针对Linux系统和Windows设备的有记录的僵尸程序家族之一。Trojan.LemonDuck使用多种方法进行初始感染和跨网络传播:恶意垃圾邮件:电子邮件通常包含两个文件,一个利用CVE-2017-8570的Word文档和一个带有恶意JavaScript的zip存档。服务器消息块(SMB)漏洞:Trojan.LemonDuck利用EternalBlue和SMBGhost漏洞破坏主机并传播到网络上的其他计算机。RDP暴力攻击:Trojan.LemonDuck的RDP模块扫描侦听端口3389的服务器,并尝试以密码列表中的用户“admin”身份登录。SSH暴力攻击:Trojan.LemonDuck扫描侦听端口22的计算机,并使用密码列表和“root”用户名执行暴力攻击。LNK漏洞:漏洞CVE-2017-8464通过包含恶意.LNK文件的USB可移动驱动器被利用。ProxyLogon:一种针对Exchange服务器的漏洞,允许未经身份验证的攻击者在易受攻击的服务器上执行任意命令。LemonDuck不限于新的或流行的漏洞利用。它继续利用一些遗留漏洞,当重点转移到修补流行的漏洞而不是调查妥协时,这有时会使攻击者受益。值得注意的是,LemonDuck通过删除竞争性恶意软件并通过修补用于获取访问权限的相同漏洞来防止任何新感染,从而将其他攻击者从受感染的设备中移除。LemonDuck最早的记录来自于它在2019年5月的加密货币活动。它的名字来源于它在PowerShell脚本中使用的变量“Lemon_Duck”,该脚本使用计划任务启动的其他脚本。本次任务引入PCAST??LE工具实现几个目的:利用EternalBlueSMB漏洞,通过暴力破解或者pass-the-hash横向移动重新开始操作。今天,在LemonDuck的活动中仍然可以观察到其中许多行为。演变2021年,LemonDuck活动开始使用更加多样化的命令与控制(C2)基础设施和工具。此更新支持在手动妥协后显着增加参与度,具体取决于受感染设备对攻击者的感知价值。这并不意味着它停止使用基于防弹托管提供商的遗留基础设施,即使据报道它们是恶意的,他们也不太可能使LemonDuck基础设施的任何部分离线。这让LemonDuck得以坚持并继续构成威胁。LemonCatLemonCat的名称取自LemonDuck于2021年1月开始使用的两个带有单词“cat”的域(sqlnetcat[.]com、netcatkit[.]com)。包含这些域的基础设施被用来利用MicrosoftExchangeServer中的漏洞。这些攻击通常会导致安装后门、窃取凭据和数据以及传播恶意软件。人们经常看到它传播恶意软件Ramnit。一旦进入带有Outlook邮箱的系统,LemonDuck就会尝试运行一个脚本来利用设备上存在的凭据。该脚本指示Mailbox向所有联系人发送带有固定消息和附件的网络钓鱼电子邮件的副本。这绕过了许多电子邮件安全策略,例如放弃扫描内部邮件或确定电子邮件是否来自可疑或未知发件人的策略。发送电子邮件后,恶意软件会删除此类活动的所有痕迹,让用户感觉好像什么都没发送。在任何受影响的带有邮箱的设备上尝试这种自我传播方法,无论它是否是Exchange服务器。手动和自动渗透自动感染(例如来自恶意垃圾邮件的感染)会启动一个PowerShell脚本,该脚本会从C&C服务器中提取其他脚本。一旦病毒持续存在,它的第一步就是禁用或删除一系列安全产品,例如MicrosoftDefenderforEndpoint、Eset、Kaspersky、Avast、NortonSecurity和Malwarebytes。他们还尝试卸载名称中带有“Security”和“AntiVirus”的所有产品。从这里开始,方法会根据目标的吸引力而有所不同。LemonDuck使用了大量免费和开源的渗透测试工具。LemonDuck在安装时和安装后反复使用脚本来扫描端口并执行网络侦察。然后它会尝试登录到相邻设备以推送初始LemonDuck执行脚本。此横向移动组件中使用的另一个工具是捆绑的Mimikatz,它位于与“Cat”和“Duck”基础设施关联的mimi.dat文件中。此工具的功能是促进其他操作的凭据盗窃。感染脚本最常见的名称是IF.Bin。结合凭据盗窃,IF.Bin会投放额外的.BIN文件以利用常见的服务漏洞(例如CVE-2017-8464)来提高权限。在安装期间和之后,LemonDuck会竭尽全力从您的设备中删除所有其他僵尸网络、矿工和竞争对手的恶意软件。它通过名为KR.Bin的脚本来执行此操作。该脚本试图通过计划任务从数十种竞争对手的恶意软件中删除服务、网络连接和其他证据。它还会关闭知名的挖矿端口并删除流行的挖矿服务以保护系统资源,甚至会删除它打算使用的挖矿服务,然后用自己的配置重新安装。缓解措施一些特定的和更通用的缓解技术:禁用敏感端点上的可移动存储设备或至少禁用自动运行。确保您的系统已完全修补并防止针对SMB、SSH、RDP、SQL等流行服务的暴力攻击。启用篡改保护,这样恶意软件就无法禁用或卸载您的反恶意软件。不要禁用潜在有害程序(PUP)的检测,因为一些反恶意软件将加密矿工归类为PUP。阻止与已知恶意域和IP地址的连接。根据允许的发件人地址查看电子邮件扫描规则,因为此恶意软件可以使用受信任的发件人地址。大家注意安全!本文翻译自:https://blog.malwarebytes.com/botnets/2021/07/lemonduck-no-longer-settles-for-breadcrumbs/如有转载请注明出处。
