關(guān)鍵詞 木馬“進(jìn)化”

　　根據(jù)Microsoft 365 Defender Threat Intelligence團(tuán)隊(duì)的說(shuō)法，LemonDuck已經(jīng)從Monero cryptominer演變?yōu)長(zhǎng)emonCat，這是一種專門(mén)從事后門(mén)安裝、盜竊憑證和數(shù)據(jù)以及惡意軟件交付的特洛伊木馬。該團(tuán)隊(duì)在Microsoft安全博客上發(fā)表了一篇分為[1]、[2]兩個(gè)部分的文章，其中解釋了他們的發(fā)現(xiàn)。

　　LemonDuck

　　Trojan.LemonDuck是一種先進(jìn)的加密礦工，正在積極更新新的漏洞利用和混淆技巧，它的目標(biāo)是通過(guò)其無(wú)文件礦工來(lái)逃避檢測(cè)。LemonDuck對(duì)企業(yè)的威脅還在于它是一種跨平臺(tái)威脅。它是為數(shù)不多的針對(duì)Linux系統(tǒng)和Windows設(shè)備的有文檔記錄在案的bot系列之一。

　　Trojan.LemonDuck使用多種方法進(jìn)行初始感染和跨網(wǎng)絡(luò)傳播：

　　?Malspam：電子郵件通常包含兩個(gè)文件，一個(gè)利用CVE-2017-8570的Word文檔和一個(gè)帶有惡意JavaScript的zip存檔。

　　服務(wù)器消息塊（SMB）漏洞：Trojan.LemonDuck利用EternalBlue和SMBGhost漏洞來(lái)破壞主機(jī)并傳播到網(wǎng)絡(luò)中的其他計(jì)算機(jī)。

　　RDP暴力破解：Trojan.LemonDuck的RDP模塊掃描端口3389上偵聽(tīng)的服務(wù)器，并嘗試從密碼列表中以用戶“管理員”身份登錄。

　　SSH暴力破解：Trojan.LemonDuck掃描偵在端口22上偵聽(tīng)的計(jì)算機(jī)，并使用密碼列表和“root”用戶名執(zhí)行暴力攻擊。

　　LNK漏洞：通過(guò)包含惡意。LNK文件的USB可移動(dòng)驅(qū)動(dòng)器利用漏洞CVE-2017-8464。

　　ProxyLogon：一種針對(duì)Exchange服務(wù)器的漏洞利用，允許未經(jīng)身份驗(yàn)證的攻擊者在易受攻擊的服務(wù)器上執(zhí)行任意命令。

　　LemonDuck不僅限于新的或流行的漏洞。它繼續(xù)利用一些傳統(tǒng)的漏洞，當(dāng)重點(diǎn)轉(zhuǎn)移到修補(bǔ)流行漏洞而不是調(diào)查妥協(xié)時(shí)，這有時(shí)會(huì)使攻擊者受益。值得注意的是，LemonDuck通過(guò)清除競(jìng)爭(zhēng)性惡意軟件并通過(guò)修補(bǔ)用于獲取訪問(wèn)權(quán)限的相同漏洞來(lái)防止任何新感染，從而將其他攻擊者從受感染設(shè)備中移除。

　　歷史

　　關(guān)于LemonDuck的最早記錄來(lái)自其2019年5月的加密貨幣活動(dòng)。它以其在一個(gè)PowerShell腳本中使用的變量“Lemon_Duck”命名，該腳本使用了計(jì)劃任務(wù)啟動(dòng)的其他腳本。該任務(wù)用于引入PCASTLE工具以實(shí)現(xiàn)以下幾個(gè)目標(biāo)：濫用EternalBlue SMB漏洞，以及使用暴力或傳遞哈希橫向移動(dòng)并再次開(kāi)始操作。今天，在LemonDuck的活動(dòng)中仍然可以觀察到許多這樣的行為。

　　進(jìn)化

　　2021年，LemonDuck活動(dòng)開(kāi)始使用更多樣化的命令和控制（C2）基礎(chǔ)設(shè)施和工具。此更新支持手動(dòng)入侵后參與的顯著增加，這取決于受感染設(shè)備對(duì)攻擊者的感知價(jià)值。這并不意味著它停止使用基于防彈托管服務(wù)提供商的舊基礎(chǔ)設(shè)施，即使它們被報(bào)告有惡意行為，它們也不太可能使LemonDuck基礎(chǔ)設(shè)施的任何部分脫機(jī)。這使得LemonDuck能夠持續(xù)存在并繼續(xù)構(gòu)成威脅。

　　LemonCat

　　LemonCat的名字來(lái)源于LemonDuck于2021年1月開(kāi)始使用的兩個(gè)帶有“cat”一詞的域（sqlnetcat[.]com、netcatkit[.]com）。包含這些域的基礎(chǔ)結(jié)構(gòu)被用于攻擊Microsoft Exchange Server中的漏洞。這些攻擊通常會(huì)導(dǎo)致后門(mén)安裝、憑據(jù)和數(shù)據(jù)被盜以及惡意軟件傳播。大家經(jīng)常看到它傳播惡意軟件Ramnit。

　　一旦進(jìn)入帶有Outlook郵箱的系統(tǒng)，LemonDuck就會(huì)嘗試運(yùn)行一個(gè)利用設(shè)備上存在的憑據(jù)的腳本。該腳本指示郵箱向所有聯(lián)系人發(fā)送帶有預(yù)設(shè)郵件和附件的網(wǎng)絡(luò)釣魚(yú)郵件副本。這繞過(guò)了許多電子郵件安全策略，例如那些放棄掃描內(nèi)部郵件或確定電子郵件是否來(lái)自可疑或未知發(fā)件人的策略。發(fā)送電子郵件后，惡意軟件會(huì)刪除此類活動(dòng)的所有痕跡，使用戶覺(jué)得好像什么都沒(méi)有發(fā)送過(guò)。這種自我傳播方法會(huì)在任何具有郵箱的受影響設(shè)備上嘗試，無(wú)論它是否是Exchange服務(wù)器。

　　人工和自動(dòng)滲透

　　自動(dòng)感染，如來(lái)自惡意垃圾郵件的感染，會(huì)啟動(dòng)一個(gè)PowerShell腳本，從C&C服務(wù)器中提取額外的腳本。一旦病毒獲得持久性，它的第一步是禁用或刪除一系列安全產(chǎn)品，如Microsoft Defender for Endpoint、Eset、Kaspersky、Avast、Norton Security和Malwarebytes。他們還嘗試卸載名稱中帶有“Security”和“AntiVirus”的任何產(chǎn)品。

　　從這里開(kāi)始，根據(jù)目標(biāo)吸引力的不用，方法也有所不同。LemonDuck利用了大量的免費(fèi)和開(kāi)源滲透測(cè)試工具。LemonDuck在安裝時(shí)使用腳本，在安裝后反復(fù)使用腳本掃描端口并執(zhí)行網(wǎng)絡(luò)偵察。然后它嘗試登錄到相鄰設(shè)備以推送初始的LemonDuck執(zhí)行腳本。在此橫向移動(dòng)組件中使用的另一個(gè)工具是捆綁的Mimikatz，它位于與“Cat”和“Duck”基礎(chǔ)架構(gòu)相關(guān)的mimi.dat文件中。此工具的功能是為了便于憑據(jù)盜竊以進(jìn)行其他操作。感染腳本最常見(jiàn)的名稱是IF.Bin。結(jié)合憑據(jù)盜竊，IF.Bin會(huì)刪除額外的。BIN文件以利用常見(jiàn)的服務(wù)漏洞，例如CVE-2017-8464從而增加特權(quán)。

　　在安裝過(guò)程中及之后，LemonDuck會(huì)不遺余力地從設(shè)備中刪除所有其他僵尸網(wǎng)絡(luò)、礦工和競(jìng)爭(zhēng)對(duì)手的惡意軟件。它通過(guò)一個(gè)名為KR.Bin的腳本來(lái)實(shí)現(xiàn)這一點(diǎn)。該腳本試圖通過(guò)計(jì)劃任務(wù)從數(shù)十個(gè)競(jìng)爭(zhēng)對(duì)手的惡意軟件中刪除服務(wù)、網(wǎng)絡(luò)連接和其他證據(jù)。它還關(guān)閉了著名的挖礦端口，并刪除了流行的挖礦服務(wù)以保護(hù)系統(tǒng)資源，甚至還刪除了它打算使用的挖礦服務(wù)，然后使用自己的配置重新安裝它。

　　緩解

　　一些特定且更通用的緩解技術(shù)：

　　禁止在敏感端點(diǎn)上使用可移動(dòng)存儲(chǔ)設(shè)備或至少禁用自動(dòng)運(yùn)行。

　　確保您的系統(tǒng)已完全修補(bǔ)并受到保護(hù)，以防止針對(duì)SMB、SSH、RDP、SQL等流行服務(wù)的暴力攻擊。

　　啟用防篡改保護(hù)，以便惡意軟件無(wú)法禁用或卸載您的反惡意軟件。

　　不要禁用對(duì)潛在有害程序（PUP）的檢測(cè)，因?yàn)橐恍┓磹阂廛浖⒓用艿V工分類為潛在有害程序。

　　阻止與已知惡意域和IP地址的連接。

　　查看基于允許的發(fā)件人地址的電子郵件掃描規(guī)則，因?yàn)榇藧阂廛浖梢允褂檬苄湃蔚陌l(fā)件人地址。

　　大家注意安全！