Microsoft hat seine Analyse der LemonDuck-Malware fortgesetzt, die dafür bekannt ist, Krypto-Miner in Unternehmensumgebungen zu installieren. Dies ist ein starkes Argument dafür, warum es sich lohnt, es aus Ihrem Netzwerk zu entfernen.
Diese Gruppe verfügt laut Microsoft über ein gut sortiertes Arsenal an Hacking-Tools, -Tricks und -Exploits, die auf eines ausgerichtet sind: dass ihre Malware so lange wie möglich exklusiven Zugriff auf ein kompromittiertes Netzwerk behält.
Während Krypto-Mining-Malware nur ein Ärgernis sein könnte, deuten die Attribute von LemonDuck darauf hin, dass die Angreifergruppe wirklich versucht, kompromittierte Netzwerke zu besitzen, indem sie Anti-Malware deaktiviert, rivalisierende Malware entfernt und sogar automatisch Schwachstellen patcht – ein wettbewerbsorientierter Versuch, konkurrierende Angreifer von der Nahrungsaufnahme abzuhalten von seinem Rasen.
„Auf diese Weise können sie die Sichtbarkeit des Angriffs auf Analysten des Sicherheitsbetriebszentrums innerhalb einer Organisation beschränken, die möglicherweise ungepatchte Geräte für die Untersuchung priorisieren oder Geräte übersehen würden, auf denen keine große Menge an Malware vorhanden ist“, erklärt Microsoft in eine Folgeanalyse von LemonDuck zu einer zuvor veröffentlichten.
Die kritischen sogenannten ProxyLogon-Microsoft-Exchange-Server-Exploits vom März und April wurden von LemonDuck-Angreifern so behandelt. Sie nutzten die Fehler, um auf Exchange-Servern Web-Shells für den Fernzugriff auf ungepatchte Systeme zu installieren und zusätzliche LemonDuck-Malware zu installieren. In einigen Fällen verwendeten LemonDuck-Angreifer umbenannte Kopien des Microsoft Exchange On-Premises Mitigation Tools (veröffentlicht von Microsoft am 15.
“Sie haben dabei vollen Zugriff auf kompromittierte Geräte erhalten und andere Akteure daran gehindert, dieselben Exchange-Schwachstellen zu missbrauchen”, fügt sie hinzu.
Sie verwenden auch dateilose Malware, die In-Memory- und Prozessinjektionen ausführt, wodurch es schwieriger wird, sie aus einer Umgebung zu entfernen.
Microsofts Beschreibung der Techniken und Tools von LemonDuck deutet darauf hin, dass die Gruppe viel Mühe darauf verwendet hat, ein Netzwerk zu starten, während sie mehrere Methoden verwendet, um Fuß zu fassen, darunter Exploits, Angriffe zum Erraten von Passwörtern und Exploits gegen SSH, MSSQL, SMB, Exchange, RDP , REDIS und Hadoop YARN für Linux- und Windows-Systeme.
Der automatisierte Eintrag von LemonDuck basiert auf einer kleinen Datei mit JavaScript, um einen PowerShell-CMD-Prozess zu starten, der Notepad und das PowerShell-Skript innerhalb des JavaScripts startet.
Der manuelle Eintrag umfasst RDP-Brute-Force-Passwortangriffe oder Exchange-Bugs. Menschliche Akteure generieren geplante Aufgaben und Skripts, um eine dateilose Persistenz zu schaffen, indem sie das PowerShell-Download-Skript erneut ausführen, um die Command-and-Control-Infrastruktur (C2) einzubinden. Es geht darum, alle Malware-Komponenten, die deaktiviert oder entfernt wurden, wieder zu aktivieren. Denken Sie daran, dass Web-Shells auch nach dem Patchen auf einem System bestehen bleiben.
Um die Persistenz widerstandsfähiger zu machen, hosten sie Skripte auf mehreren Sites (was die Deaktivierung erschwert) und verwenden als Backup auch WMI-Ereigniskonsumenten oder ein Arsenal von Tools, die den Zugriff auf RDP-Zugriff, Exchange-Web-Shells, Screen Connect, und Fernzugriffstools (RATs).
LemonDuck versucht, den cloudbasierten Microsoft Defender für die Endpoint-Echtzeitüberwachung automatisch zu deaktivieren, indem das gesamte Laufwerk C: der Microsoft Defender-Ausschlussliste hinzugefügt wird. Windows 10 „Manipulationsschutz“ soll diese Aktionen verhindern.
Zu den anderen Anbietern, die von LemonDucks Anti-Malware-Entfernungsaktivitäten ins Visier genommen werden, gehören ESET, Kaspersky, Avast, Norton Security und MalwareBytes.
In einem Netzwerk versucht eines der Tools von LemonDuck festzustellen, ob Outlook auf einem kompromittierten Gerät ausgeführt wird. In diesem Fall durchsucht es das Postfach nach Kontakten und verbreitet Malware in E-Mails mit angehängten .zip-, .js- oder .doc/.rtf-Dateien.
“Die Angreifer wurden auch beim manuellen Wiedereintritt in eine Umgebung beobachtet, insbesondere in Fällen, in denen Edge-Schwachstellen als erster Eintrittsvektor verwendet wurden”, erklärt Microsoft.
“Die Angreifer schließen auch die Sicherheitsanfälligkeit, die sie beim Eindringen in das Netzwerk verwendet haben, um anderen Angreifern den Zugang zu verwehren. Wie bereits erwähnt, wurden die Angreifer mit einer Kopie eines von Microsoft bereitgestellten Abwehrtools für die Sicherheitsanfälligkeit in Exchange die sie auf ihrer Infrastruktur gehostet haben, um sicherzustellen, dass andere Angreifer keinen Zugriff auf die Web-Shell erhalten, wie sie es hatten.”
Mit anderen Worten, LemonDuck setzt möglicherweise nur Krypto-Miner ein, die CPU-Ressourcen verbrauchen, aber die Länge, die sie aufwenden, um in einem Netzwerk zu bleiben, rückt sie in ein anderes Licht als nur ein Ärgernis. Es könnte sich für Sicherheitsteams lohnen, sich gegen Ende der Analyse die Tipps von Microsoft zum Aufspüren von LemonDuck-Bedrohungen und -Tools in einem Netzwerk anzusehen, denn wenn LemonDuck erst einmal an Bord ist, möchte es wirklich nicht mehr gehen.
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 