More

    LemonDuck malver koji iskorištava SMB ranjivosti za napad na Windows servere

    LemonDuck maliciozni softver evoluirao je od botneta za rudarenje kriptovalute u „svestrani maliciozni softver“ koji je sposoban „ukrasti kredencijale“, „onemogućiti sigurnosne mjere“ i „širiti se različitim metodama“. 

    On cilja i “Windows” i “Linux” sisteme koristeći tehnike kao što su ‘napadi grubom silom’ i ‘iskorištenje poznatih ranjivosti’ kao što je “EternalBlue” da bi se dobio pristup mrežama. 

    Aufa i NetbyteSEC pripravnici (Irham, Idham, Adnin, Nabiha, Haiqal, Amirul) nedavno su otkrili da zlonamjerni softver LemonDuck aktivno iskorištava SMB ranjivosti za napad na Windows servere. 

    LemonDuck malver koji iskorištava ranjivosti malih i srednjih preduzeća

    Pronađen je maliciozni softver LemonDuck koji iskorištava ranjivosti u Microsoftovom protokolu Server Message Block (SMB), posebno ranjivost „ EternalBlue “ (‘CVE-2017-0144’).

    Maliciozni softver započinje svoj napad pokušajima grube sile na „ SMB usluge “, koristeći IP adresu „211.22.131.99“ sa Tajvana. 

    Nakon što dobije pristup, kreira skrivene administrativne dijeljenja i izvršava niz malicioznih radnji putem batch datoteka i PowerShell skripti. 

    Grafikon toka napada (Izvor – NetbyteSEC)

    To uključuje ‘kreiranje i preimenovanje izvršnih datoteka’ („msInstall.exe” u „FdQn.exe”), „manipulisanje postavkama zaštitnog zida” i „uspostavljanje prosljeđivanja porta na „1.1.1.1” na „portu 53”.’ 

    LemonDuck osigurava postojanost postavljanjem “planiranih zadataka” (‘NFUBffk,’ ‘Autocheck,’ ‘Autoload’) koji se pokreću u redovnim intervalima izvršavanjem zlonamjernih korisnih podataka sa udaljenih URL-ova, navodi NetbyteSEC izvještaj .

    Koristi mehanizme protiv otkrivanja kao što su „nadgledanje instanci komandne linije“ i „prisilno ponovno pokretanje sistema“. 

    Zlonamjerni softver onemogućuje Windows Defender , stvara izuzeća za disk “C:” i “PowerShell proces” i koristi base64 kodiranje da prikrije svoje aktivnosti. 

    Značajne komponente uključuju “svchost.exe” (maskiran kao ‘legitimni sistemski servis’) i ‘različite zakazane zadatke’ koji održavaju infekciju. 

    Izvršena jednostruka naredba koja sadrži niz zlonamjernih aktivnosti (Izvor – NetbyteSEC)

    Napad se završava procedurama čišćenja kako bi se uklonili dokazi koji pokazuju sveobuhvatan pristup LemonDucka “kriptominingu” i “kompromisu sistema”.

    Maliciozni softver je prikriven kao “svchost.exe”, koji je smješten u “C:\Windows\Temp” i koristi datoteku (“ipc.txt”) za signalizaciju.

    Onemogućuje Windows Defender, dodaje “C:\” na liste isključenja i otvara “TCP port 65529” za “C2 komunikaciju”. Maliciozni softver sam sebe preimenuje kako bi izbjegao otkrivanje (‘HbxhVCnn.exe’) i postavlja zakazane zadatke radi postojanosti. 

    Iskorištava „EternalBlue ranjivost“ (‘CVE-2017-0144’) u SMB uslugama za bočno kretanje. 

    Mimikatz izvršavanje koda (Izvor – NetbyteSEC)

    Ne samo to, čak koristi PowerShell za preuzimanje dodatnih skripti sa URL-ova kao što je “http://t[.]amynx[.]com/gim[.]jsp, i koristi Mimikatz za krađu akreditiva. 

    Napad manipuliše sistemskim uslugama, modifikuje pravila zaštitnog zida i koristi više tehnika za održavanje skrivenosti i osiguravanje ponovljenih izvršavanja. 

    Ključne komponente nude „brute-force napade“, „eskalaciju privilegija na nivo SISTEMA“ i „kreiranje malicioznih batch fajlova (‘p.bat’)“ za dalje narušavanje sistema. 

    Radnje malicioznog softvera obuhvataju ‘mrežnu manipulaciju’, ‘operacije sa datotekama’ i ‘planirano kreiranje zadataka’, ovo ilustruje složen pristup “infiltraciji i kontroli sistema”.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories