關(guān)鍵詞 木馬“進化”

　　根據(jù)Microsoft 365 Defender Threat Intelligence團隊的說法，LemonDuck已經(jīng)從Monero cryptominer演變?yōu)長emonCat，這是一種專門從事后門安裝、盜竊憑證和數(shù)據(jù)以及惡意軟件交付的特洛伊木馬。該團隊在Microsoft安全博客上發(fā)表了一篇分為[1]、[2]兩個部分的文章，其中解釋了他們的發(fā)現(xiàn)。

　　LemonDuck

　　Trojan.LemonDuck是一種先進的加密礦工，正在積極更新新的漏洞利用和混淆技巧，它的目標(biāo)是通過其無文件礦工來逃避檢測。LemonDuck對企業(yè)的威脅還在于它是一種跨平臺威脅。它是為數(shù)不多的針對Linux系統(tǒng)和Windows設(shè)備的有文檔記錄在案的bot系列之一。

　　Trojan.LemonDuck使用多種方法進行初始感染和跨網(wǎng)絡(luò)傳播：

　　?Malspam：電子郵件通常包含兩個文件，一個利用CVE-2017-8570的Word文檔和一個帶有惡意JavaScript的zip存檔。

　　服務(wù)器消息塊（SMB）漏洞：Trojan.LemonDuck利用EternalBlue和SMBGhost漏洞來破壞主機并傳播到網(wǎng)絡(luò)中的其他計算機。

　　RDP暴力破解：Trojan.LemonDuck的RDP模塊掃描端口3389上偵聽的服務(wù)器，并嘗試從密碼列表中以用戶“管理員”身份登錄。

　　SSH暴力破解：Trojan.LemonDuck掃描偵在端口22上偵聽的計算機，并使用密碼列表和“root”用戶名執(zhí)行暴力攻擊。

　　LNK漏洞：通過包含惡意。LNK文件的USB可移動驅(qū)動器利用漏洞CVE-2017-8464。

　　ProxyLogon：一種針對Exchange服務(wù)器的漏洞利用，允許未經(jīng)身份驗證的攻擊者在易受攻擊的服務(wù)器上執(zhí)行任意命令。

　　LemonDuck不僅限于新的或流行的漏洞。它繼續(xù)利用一些傳統(tǒng)的漏洞，當(dāng)重點轉(zhuǎn)移到修補流行漏洞而不是調(diào)查妥協(xié)時，這有時會使攻擊者受益。值得注意的是，LemonDuck通過清除競爭性惡意軟件并通過修補用于獲取訪問權(quán)限的相同漏洞來防止任何新感染，從而將其他攻擊者從受感染設(shè)備中移除。

　　歷史

　　關(guān)于LemonDuck的最早記錄來自其2019年5月的加密貨幣活動。它以其在一個PowerShell腳本中使用的變量“Lemon_Duck”命名，該腳本使用了計劃任務(wù)啟動的其他腳本。該任務(wù)用于引入PCASTLE工具以實現(xiàn)以下幾個目標(biāo)：濫用EternalBlue SMB漏洞，以及使用暴力或傳遞哈希橫向移動并再次開始操作。今天，在LemonDuck的活動中仍然可以觀察到許多這樣的行為。

　　進化

　　2021年，LemonDuck活動開始使用更多樣化的命令和控制（C2）基礎(chǔ)設(shè)施和工具。此更新支持手動入侵后參與的顯著增加，這取決于受感染設(shè)備對攻擊者的感知價值。這并不意味著它停止使用基于防彈托管服務(wù)提供商的舊基礎(chǔ)設(shè)施，即使它們被報告有惡意行為，它們也不太可能使LemonDuck基礎(chǔ)設(shè)施的任何部分脫機。這使得LemonDuck能夠持續(xù)存在并繼續(xù)構(gòu)成威脅。

　　LemonCat

　　LemonCat的名字來源于LemonDuck于2021年1月開始使用的兩個帶有“cat”一詞的域（sqlnetcat[.]com、netcatkit[.]com）。包含這些域的基礎(chǔ)結(jié)構(gòu)被用于攻擊Microsoft Exchange Server中的漏洞。這些攻擊通常會導(dǎo)致后門安裝、憑據(jù)和數(shù)據(jù)被盜以及惡意軟件傳播。大家經(jīng)?？吹剿鼈鞑阂廛浖amnit。

　　一旦進入帶有Outlook郵箱的系統(tǒng)，LemonDuck就會嘗試運行一個利用設(shè)備上存在的憑據(jù)的腳本。該腳本指示郵箱向所有聯(lián)系人發(fā)送帶有預(yù)設(shè)郵件和附件的網(wǎng)絡(luò)釣魚郵件副本。這繞過了許多電子郵件安全策略，例如那些放棄掃描內(nèi)部郵件或確定電子郵件是否來自可疑或未知發(fā)件人的策略。發(fā)送電子郵件后，惡意軟件會刪除此類活動的所有痕跡，使用戶覺得好像什么都沒有發(fā)送過。這種自我傳播方法會在任何具有郵箱的受影響設(shè)備上嘗試，無論它是否是Exchange服務(wù)器。

　　人工和自動滲透

　　自動感染，如來自惡意垃圾郵件的感染，會啟動一個PowerShell腳本，從C&C服務(wù)器中提取額外的腳本。一旦病毒獲得持久性，它的第一步是禁用或刪除一系列安全產(chǎn)品，如Microsoft Defender for Endpoint、Eset、Kaspersky、Avast、Norton Security和Malwarebytes。他們還嘗試卸載名稱中帶有“Security”和“AntiVirus”的任何產(chǎn)品。

　　從這里開始，根據(jù)目標(biāo)吸引力的不用，方法也有所不同。LemonDuck利用了大量的免費和開源滲透測試工具。LemonDuck在安裝時使用腳本，在安裝后反復(fù)使用腳本掃描端口并執(zhí)行網(wǎng)絡(luò)偵察。然后它嘗試登錄到相鄰設(shè)備以推送初始的LemonDuck執(zhí)行腳本。在此橫向移動組件中使用的另一個工具是捆綁的Mimikatz，它位于與“Cat”和“Duck”基礎(chǔ)架構(gòu)相關(guān)的mimi.dat文件中。此工具的功能是為了便于憑據(jù)盜竊以進行其他操作。感染腳本最常見的名稱是IF.Bin。結(jié)合憑據(jù)盜竊，IF.Bin會刪除額外的。BIN文件以利用常見的服務(wù)漏洞，例如CVE-2017-8464從而增加特權(quán)。

　　在安裝過程中及之后，LemonDuck會不遺余力地從設(shè)備中刪除所有其他僵尸網(wǎng)絡(luò)、礦工和競爭對手的惡意軟件。它通過一個名為KR.Bin的腳本來實現(xiàn)這一點。該腳本試圖通過計劃任務(wù)從數(shù)十個競爭對手的惡意軟件中刪除服務(wù)、網(wǎng)絡(luò)連接和其他證據(jù)。它還關(guān)閉了著名的挖礦端口，并刪除了流行的挖礦服務(wù)以保護系統(tǒng)資源，甚至還刪除了它打算使用的挖礦服務(wù)，然后使用自己的配置重新安裝它。

　　緩解

　　一些特定且更通用的緩解技術(shù)：

　　禁止在敏感端點上使用可移動存儲設(shè)備或至少禁用自動運行。

　　確保您的系統(tǒng)已完全修補并受到保護，以防止針對SMB、SSH、RDP、SQL等流行服務(wù)的暴力攻擊。

　　啟用防篡改保護，以便惡意軟件無法禁用或卸載您的反惡意軟件。

　　不要禁用對潛在有害程序（PUP）的檢測，因為一些反惡意軟件將加密礦工分類為潛在有害程序。

　　阻止與已知惡意域和IP地址的連接。

　　查看基于允許的發(fā)件人地址的電子郵件掃描規(guī)則，因為此惡意軟件可以使用受信任的發(fā)件人地址。

　　大家注意安全！