lemunduck.根据Microsoft 365 Defender威胁情报团队的说法,从Monero Cryptominer从Monero Cryptominer发达到Lemoncat,专门从事后门安装,凭证和数据盗窃以及恶意软件交付,并在两部分故事中解释了他们的发现[1][2]在Microsoft安全博客上。

lemunduck.

Trojan.lemonduck一直是一个先进的加密,积极地被新的漏洞和混淆技巧更新。其中,它旨在用无用的矿工逃避检测。Lemunduck对企业的威胁也是它是跨平台威胁的事实。它是针对Linux系统以及Windows设备的一些记录机Bot系列之一。Trojan.lemonduck使用几种方法来初始感染并跨网络传播:

  • MALSPAM:电子邮件通常包含两个文件:Word文档利用CVE-2017-8570和带有恶意JavaScript的压缩文件。
  • 服务器消息块(SMB)漏洞:Trojan.lemonduck利用EternalBlueSMBGHOST缺陷损害主机并传播到网络内的其他机器。
  • RDP Brute-Forcing:Trojan.lemonduck的RDP.模块扫描监听端口3389的服务器,并尝试从密码列表中以用户“administrator”身份登录。
  • SSH蛮力攻击:Linux中的RDP攻击。木马。LemonDuck扫描正在侦听端口22的机器,并使用“root”用户名和密码列表执行暴力攻击。
  • LNK漏洞:利用漏洞CVE-2017-8464通过USB移动驱动器,其中包含一个恶意的。lnk文件。
  • Perxylogon.:一种利用Exchange服务器的漏洞,允许未经身份验证的攻击者在脆弱的服务器上执行任意命令。

Lemdonuck不仅限于新的或流行的漏洞。它继续使用较旧的漏洞,这有时会在焦点转移到修补流行的漏洞而不是调查妥协时,这些漏洞使攻击者受益。值得注意的是,LemDonduck通过摆脱竞争恶意软件并通过修补它用于获得访问权限的相同漏洞来防止任何新的感染来删除来自受损的设备并防止任何新的感染。

历史

柠檬鸭最早的文件来自其2019年5月的加密货币活动。它是以它在一个PowerShell脚本中使用的变量“Lemon_Duck”命名的,该脚本使用由计划任务启动的额外脚本。这个任务是用来把PCASTLE实现几个目标的工具:滥用EternalBlue SMB Exploit,以及使用蛮力或通过 - 哈希横向移动并再次开始操作。今天在Lemdond Campaigns中仍然观察到这些行为中的许多行为。

进化

在2021年,Lemdond Campaigns开始使用更多多样化的命令和控制(C2)基础架构和工具。此更新支持手动后违规参与的标记增加,这根据受损设备对攻击者的感知价值而调整。这并不意味着它根据基于防弹托管提供商的旧基础设施停止,这也不太可能在据报道恶意行动时离线脱机的任何部分lemderuck基础设施。这允许Lemdoduck坚持并继续成为威胁。

lemoncat.

“柠檬猫”是这样命名的,以两个带有单词“猫”的域(sqlnetcat[。netcatkit[.]com),柠檬鸭于2021年1月开始使用。包括这些域的基础结构用于利用Microsoft Exchange Server中的漏洞进行攻击。这些攻击通常会导致后门安装、凭证和数据盗窃以及恶意软件传递。它经常被看到传播恶意软件ramnit.

一旦进入带有Outlook邮箱的系统,LemonDuck就会尝试运行一个使用设备上的凭据的脚本。该脚本指示邮箱向所有联系人发送带有预设消息和附件的钓鱼消息副本。这绕过了许多电子邮件安全策略,例如那些放弃扫描内部邮件的策略,或那些确定邮件是否来自可疑或未知发件人的策略。在电子邮件发送后,恶意软件会删除所有此类活动的痕迹,让用户觉得好像什么都没发送。在任何有邮箱的受影响设备上尝试此自传播方法,无论它是否是Exchange服务器。

人类和自动渗透

自动感染,如恶意垃圾邮件,启动一个PowerShell脚本,从中华商务服务器。感染率一旦获得持久性,它的第一步之一就是禁用或删除一系列安全产品,如Endpoint,ESES,Kaspersky,Avast,Norton Security和Malwarebytes。必威平台APP他们还尝试以名称的“安全性”和“防病毒”卸载任何产品。

从这里,方法基于目标的吸引力有所不同。LemDonduck利用广泛的自由和开源穿透检测工具。LemDonduck在安装时使用脚本,然后在此后重复扫描端口并执行网络侦察。然后它试图登录相邻设备以推动初始LEMONDUCK执行脚本。在该横向移动组件内丢弃和使用的另一个工具是捆绑的Mimikatz,其中与“CAT”和“鸭子”基础设施相关联的MIMI.DAT文件中。此工具的功能是为了促进凭据盗窃以获取其他操作。感染脚本最常见的名称是if.bin。与凭证盗窃相结合,如果是丢弃其他.bin文件以尝试普通服务漏洞CVE-2017 - 8464增加的特权。

在安装和反复之后,LemDoduck需要很大的长度来从设备中删除所有其他僵尸网络,矿工和竞争对手恶意软件。它通过称为kr.bin的脚本来实现这一目标。此脚本尝试通过计划任务从数十个竞争对手恶意软件中删除服务,网络连接和其他证据。它还关闭着名的采矿港口,并删除流行的采矿服务以保留系统资源。脚本甚至删除它打算使用的挖掘服务,并只需以自己的配置向后重新安装它。

减轻

一些具体和更一般的缓解技术:

  • 禁止在敏感端点或至少禁用autorun上的可移动存储设备。
  • 确保您的系统完全修补并防止针对SMB,SSH,RDP,SQL等流行服务的暴力攻击。
  • 打开篡改保护所以恶意软件不能禁用或卸载你的防恶意软件。
  • 由于某些反恶意软件对隐藏矿工视为可能不希望的密码矿工,请勿禁用潜在的不需要的程序(PUP)。
  • 阻止与已知的恶意域和IP地址的连接。
  • 检查你的电子邮件扫描规则是基于允许的发件人地址,因为这个恶意软件可以使用可信的发件人地址。

保持安全,每个人!