来自奥法和NetbyteSEC安全研究人员的最新报告揭示了LemonDuck恶意软件的死灰复燃,该恶意软件现在正在利用微软服务器消息块(SMB)协议中的EternalBlue漏洞(CVE-2017-0144)来促进加密攻击。臭名昭著的漏洞 EternalBlue最早被臭名昭着的 WannaCry 勒索软件利用,它仍然是 LemonDuck等恶意软件的关键入侵点,后者瞄准网络资源来挖掘加密货币,同时逃避检测。
LemonDuck被确认为一种复杂的加密挖矿恶意软件,使用多种攻击向量,包括钓鱼电子邮件、强力密码攻击和SMB攻击。一旦它能够访问一个易受的系统,它就会建立控制并利用机器的处理能力进行加密。“LemonDuck 使用PowerShell来避免检测,部署各种恶意有效载荷,并针对系统进行加密劫持,”研究人员指出。
攻击始于对SMB服务的蛮干攻击,利用EternalBlue漏洞获取未经授权的访问。在报告的案例研究中,研究人员透露,攻击者来自台湾台中市的一个IP,成功地破坏了一个SMB服务,授予他们管理权限。根据该报告,“攻击者为C:驱动器创建了一个隐藏的管理共享,使得在受害者不知情的情况下能够远程访问。”
攻击者一旦获得访问权,就会使用批处理文件p.bat来发起一系列恶意操作。这些操作包括复制恶意文件(msInstall.exe),对其进行重命名,以及设置防火墙规则以将流量重定向到远程服务器。报告指出,“该批处理文件还执行一个编码为 base64的PowerShell脚本,从远程URL下载其他恶意软件,并安排任务以确保持久执行。”
LemonDuck的主要目标是利用系统资源进行加密挖掘。为了达到这个目的,恶意软件使用各种技术来保持持久性和避免被检测到。其中一种方法包括禁用Windows Defender实时保护,并将整个C:驱动器添加到排除列表中,确保安全软件忽略恶意活动。该报告强调,“此恶意软件能够禁用Windows Defender的实时保护,并为整个C:驱动器和PowerShell进程,以避免被检测。”
该恶意软件还操纵网络设置,在与DNS相关的规则下打开TCP端口(65532、65531、65539),并使用端口代理将出站流量伪装成合法的DNS请求。这使得恶意软件能够与其命令与控制(C2)服务器通信并泄漏数据,而不会在典型的网络监控系统中引起警报。
该报告提供了几个与LemonDuck相关的折衷指标(IOC),包括IP地址、URL和恶意可执行文件。攻击中标记的关键URL之一是http://t.amynx.com/gim.jsp,用于下载额外的恶意软件有效载荷。VirusTotal 已将此URL标记为恶意,并将其与加密活动联系起来。
为了减轻这些攻击,我们敦促组织对其系统进行补丁,以抵御已知的漏洞,特别是 EternalBlue (CVE-2017-0144)。定期更新软件并使用能够检测网络横向移动的高级安全解决方案,对于防止 LemonDuck 这样的恶意软件站稳脚跟至关重要。
LemonDuck 恶意软件继续发展,采用了强力SMB漏洞、加密有效载荷和高级规避技术相结合的方式来破坏易受的系统。正如报告所指出的,“对于组织来说,确保定期更新所有操作系统和软件以防范已知漏洞(包括 EternalBlue (CVE-2017-0144))至关重要,以最大限度地降低被泄露的风险。”
发表评论
您还未登录,请先登录。
登录