IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 【网络安全】LemonDuck木马进化,危害性增强 -> 正文阅读

[网络协议]【网络安全】LemonDuck木马进化,危害性增强

根据Microsoft 365 Defender Threat Intelligence团队的说法,LemonDuck已经从Monero cryptominer演变为LemonCat,这是一种专门从事后门安装、盗窃凭证和数据以及恶意软件交付的特洛伊木马。该团队在Microsoft安全博客上发表了一篇分为[1]、[2]两个部分的文章,其中解释了他们的发现。

LemonDuck

Trojan.LemonDuck是一种先进的加密矿工,正在积极更新新的漏洞利用和混淆技巧,它的目标是通过其无文件矿工来逃避检测。LemonDuck对企业的威胁还在于它是一种跨平台威胁。它是为数不多的针对Linux系统和Windows设备的有文档记录在案的bot系列之一。Trojan.LemonDuck使用多种方法进行初始感染和跨网络传播:

?Malspam:电子邮件通常包含两个文件,一个利用CVE-2017-8570的Word文档和一个带有恶意JavaScript的zip存档。

?服务器消息块(SMB)漏洞:Trojan.LemonDuck利用EternalBlue和SMBGhost漏洞来破坏主机并传播到网络中的其他计算机。

?RDP暴力破解:Trojan.LemonDuck的RDP模块扫描端口3389上侦听的服务器,并尝试从密码列表中以用户“管理员”身份登录。

?SSH暴力破解:Trojan.LemonDuck扫描侦在端口22上侦听的计算机,并使用密码列表和“root”用户名执行暴力攻击。

?LNK漏洞:通过包含恶意.LNK文件的USB可移动驱动器利用漏洞CVE-2017-8464。

?ProxyLogon:一种针对Exchange服务器的漏洞利用,允许未经身份验证的攻击者在易受攻击的服务器上执行任意命令。

LemonDuck不仅限于新的或流行的漏洞。它继续利用一些传统的漏洞,当重点转移到修补流行漏洞而不是调查妥协时,这有时会使攻击者受益。值得注意的是,LemonDuck通过清除竞争性恶意软件并通过修补用于获取访问权限的相同漏洞来防止任何新感染,从而将其他攻击者从受感染设备中移除。

历史

关于LemonDuck的最早记录来自其2019年5月的加密货币活动。它以其在一个PowerShell脚本中使用的变量“Lemon_Duck”命名,该脚本使用了计划任务启动的其他脚本。该任务用于引入PCASTLE工具以实现以下几个目标:滥用EternalBlue SMB漏洞,以及使用暴力或传递哈希横向移动并再次开始操作。今天,在LemonDuck的活动中仍然可以观察到许多这样的行为。

在这里插入图片描述

进化

2021年,LemonDuck活动开始使用更多样化的命令和控制(C2)基础设施和工具。此更新支持手动入侵后参与的显着增加,这取决于受感染设备对攻击者的感知价值。这并不意味着它停止使用基于防弹托管服务提供商的旧基础设施,即使它们被报告有恶意行为,它们也不太可能使LemonDuck基础设施的任何部分脱机。这使得LemonDuck能够持续存在并继续构成威胁。

LemonCat

LemonCat的名字来源于LemonDuck于2021年1月开始使用的两个带有“cat”一词的域(sqlnetcat[.]com、netcatkit[.]com)。包含这些域的基础结构被用于攻击Microsoft Exchange Server中的漏洞。这些攻击通常会导致后门安装、凭据和数据被盗以及恶意软件传播。大家经常看到它传播恶意软件Ramnit。

一旦进入带有Outlook邮箱的系统,LemonDuck就会尝试运行一个利用设备上存在的凭据的脚本。该脚本指示邮箱向所有联系人发送带有预设邮件和附件的网络钓鱼邮件副本。这绕过了许多电子邮件安全策略,例如那些放弃扫描内部邮件或确定电子邮件是否来自可疑或未知发件人的策略。发送电子邮件后,恶意软件会删除此类活动的所有痕迹,使用户觉得好像什么都没有发送过。这种自我传播方法会在任何具有邮箱的受影响设备上尝试,无论它是否是Exchange服务器。

人工和自动渗透

自动感染,如来自恶意垃圾邮件的感染,会启动一个PowerShell脚本,从C&C服务器中提取额外的脚本。一旦病毒获得持久性,它的第一步是禁用或删除一系列安全产品,如Microsoft Defender for Endpoint、Eset、Kaspersky、Avast、Norton Security和Malwarebytes。他们还尝试卸载名称中带有“Security”和“AntiVirus”的任何产品。

从这里开始,根据目标吸引力的不用,方法也有所不同。LemonDuck利用了大量的免费和开源渗透测试工具。LemonDuck在安装时使用脚本,在安装后反复使用脚本扫描端口并执行网络侦察。然后它尝试登录到相邻设备以推送初始的LemonDuck执行脚本。在此横向移动组件中使用的另一个工具是捆绑的Mimikatz,它位于与“Cat”和“Duck”基础架构相关的mimi.dat文件中。此工具的功能是为了便于凭据盗窃以进行其他操作。感染脚本最常见的名称是IF.Bin。结合凭据盗窃,IF.Bin会删除额外的.BIN文件以利用常见的服务漏洞,例如CVE-2017-8464从而增加特权。

在安装过程中及之后,LemonDuck会不遗余力地从设备中删除所有其他僵尸网络、矿工和竞争对手的恶意软件。它通过一个名为KR.Bin的脚本来实现这一点。该脚本试图通过计划任务从数十个竞争对手的恶意软件中删除服务、网络连接和其他证据。它还关闭了著名的挖矿端口,并删除了流行的挖矿服务以保护系统资源,甚至还删除了它打算使用的挖矿服务,然后使用自己的配置重新安装它。

在这里插入图片描述

缓解

一些特定且更通用的缓解技术:

?禁止在敏感端点上使用可移动存储设备或至少禁用自动运行。

?确保您的系统已完全修补并受到保护,以防止针对SMB、SSH、RDP、SQL等流行服务的暴力攻击。

?启用防篡改保护,以便恶意软件无法禁用或卸载您的反恶意软件。

?不要禁用对潜在有害程序(PUP)的检测,因为一些反恶意软件将加密矿工分类为潜在有害程序。

?阻止与已知恶意域和IP地址的连接。

?查看基于允许的发件人地址的电子邮件扫描规则,因为此恶意软件可以使用受信任的发件人地址。
在这里插入图片描述
此处提醒大家:注意安全!

还有需要了解网络安全的朋友可以关注私信我哦!!!

资料领取详细

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-28 09:42:41  更:2021-08-28 09:44:00 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:19:38-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计