LemonDuck maliciozni softver evoluirao je od botneta za rudarenje kriptovalute u „svestrani maliciozni softver“ koji je sposoban „ukrasti kredencijale“, „onemogućiti sigurnosne mjere“ i „širiti se različitim metodama“.
On cilja i “Windows” i “Linux” sisteme koristeći tehnike kao što su ‘napadi grubom silom’ i ‘iskorištenje poznatih ranjivosti’ kao što je “EternalBlue” da bi se dobio pristup mrežama.
Aufa i NetbyteSEC pripravnici (Irham, Idham, Adnin, Nabiha, Haiqal, Amirul) nedavno su otkrili da zlonamjerni softver LemonDuck aktivno iskorištava SMB ranjivosti za napad na Windows servere.
LemonDuck malver koji iskorištava ranjivosti malih i srednjih preduzeća
Pronađen je maliciozni softver LemonDuck koji iskorištava ranjivosti u Microsoftovom protokolu Server Message Block (SMB), posebno ranjivost „ EternalBlue “ (‘CVE-2017-0144’).
Maliciozni softver započinje svoj napad pokušajima grube sile na „ SMB usluge “, koristeći IP adresu „211.22.131.99“ sa Tajvana.
Nakon što dobije pristup, kreira skrivene administrativne dijeljenja i izvršava niz malicioznih radnji putem batch datoteka i PowerShell skripti.
.webp)
To uključuje ‘kreiranje i preimenovanje izvršnih datoteka’ („msInstall.exe” u „FdQn.exe”), „manipulisanje postavkama zaštitnog zida” i „uspostavljanje prosljeđivanja porta na „1.1.1.1” na „portu 53”.’
LemonDuck osigurava postojanost postavljanjem “planiranih zadataka” (‘NFUBffk,’ ‘Autocheck,’ ‘Autoload’) koji se pokreću u redovnim intervalima izvršavanjem zlonamjernih korisnih podataka sa udaljenih URL-ova, navodi NetbyteSEC izvještaj .
Koristi mehanizme protiv otkrivanja kao što su „nadgledanje instanci komandne linije“ i „prisilno ponovno pokretanje sistema“.
Zlonamjerni softver onemogućuje Windows Defender , stvara izuzeća za disk “C:” i “PowerShell proces” i koristi base64 kodiranje da prikrije svoje aktivnosti.
Značajne komponente uključuju “svchost.exe” (maskiran kao ‘legitimni sistemski servis’) i ‘različite zakazane zadatke’ koji održavaju infekciju.
.webp)
Napad se završava procedurama čišćenja kako bi se uklonili dokazi koji pokazuju sveobuhvatan pristup LemonDucka “kriptominingu” i “kompromisu sistema”.
Maliciozni softver je prikriven kao “svchost.exe”, koji je smješten u “C:\Windows\Temp” i koristi datoteku (“ipc.txt”) za signalizaciju.
Onemogućuje Windows Defender, dodaje “C:\” na liste isključenja i otvara “TCP port 65529” za “C2 komunikaciju”. Maliciozni softver sam sebe preimenuje kako bi izbjegao otkrivanje (‘HbxhVCnn.exe’) i postavlja zakazane zadatke radi postojanosti.
Iskorištava „EternalBlue ranjivost“ (‘CVE-2017-0144’) u SMB uslugama za bočno kretanje.
.webp)
Ne samo to, čak koristi PowerShell za preuzimanje dodatnih skripti sa URL-ova kao što je “http://t[.]amynx[.]com/gim[.]jsp, i koristi Mimikatz za krađu akreditiva.
Napad manipuliše sistemskim uslugama, modifikuje pravila zaštitnog zida i koristi više tehnika za održavanje skrivenosti i osiguravanje ponovljenih izvršavanja.
Ključne komponente nude „brute-force napade“, „eskalaciju privilegija na nivo SISTEMA“ i „kreiranje malicioznih batch fajlova (‘p.bat’)“ za dalje narušavanje sistema.
Radnje malicioznog softvera obuhvataju ‘mrežnu manipulaciju’, ‘operacije sa datotekama’ i ‘planirano kreiranje zadataka’, ovo ilustruje složen pristup “infiltraciji i kontroli sistema”.
Izvor: CyberSecurityNews