Microsoft har fortsat sin analyse af LemonDuck-malware, der er kendt for at installere krypto-minearbejdere i virksomhedsmiljøer. Det gør en stærk begrundelse for, hvorfor det er værd at fjerne det fra dit netværk.
Denne gruppe har ifølge Microsoft et velassorteret arsenal af hackingsværktøjer, tricks og bedrifter rettet mod én ting: at deres malware bevarer eksklusiv adgang til et kompromitteret netværk så længe som muligt.
Selvom krypto-mining-malware kun kan være til gene, tyder LemonDuck-attributter på, at angribergruppen virkelig forsøger at eje kompromitterede netværk ved at deaktivere anti-malware, fjerne rivaliserende malware og endda automatisk lappe sårbarheder-en konkurrencedygtig indsats for at holde rivaliserende angribere fra at fodre ud af græsset.
“Dette giver dem mulighed for at begrænse synligheden af angrebet til [sikkerhedscentralens] analytikere i en organisation, der muligvis prioriterer upatchede enheder til undersøgelse, eller som ville overse enheder, der ikke har en stor mængde malware til stede,” forklarede Microsoft i en opfølgende analyse af LemonDuck til en, den tidligere har offentliggjort.
De kritiske såkaldte ProxyLogon Microsoft Exchange Server-exploits fra marts og april blev behandlet på denne måde af LemonDuck-angribere. De brugte fejlene til at installere webskaller på Exchange -servere til fjernadgang til upatchede systemer og til at installere yderligere LemonDuck -malware. I nogle tilfælde brugte LemonDuck-angribere omdøbte kopier af Microsoft Exchange On-Premises Mitigation Tool (udgivet af Microsoft den 15. marts) til at rette den fejl, de havde brugt til at få adgang i første omgang, ifølge Microsoft.
“De gjorde det, samtidig med at de opretholdt fuld adgang til kompromitterede enheder og begrænsede andre aktører fra at misbruge de samme Exchange-sårbarheder,” tilføjer det.
De bruger også filfri malware, der udfører in-memory og behandler injektion, hvilket gør det sværere at fjerne fra et miljø.
Microsofts beskrivelse af LemonDucks teknikker og værktøjer tyder på, at gruppen lagde en stor indsats i at være svær at starte et netværk, mens han brugte flere metoder til at få fodfæste, herunder bedrifter, angreb med adgangskoder og udnyttelser mod SSH, MSSQL, SMB, Exchange, RDP , REDIS og Hadoop YARN til Linux- og Windows -systemer.
LemonDucks automatiserede post er afhængig af en lille fil med JavaScript for at starte en PowerShell CMD -proces, der starter Notepad og PowerShell -scriptet inde i JavaScript.
Den manuelle indtastning omfatter RDP brute force -kodeordsangreb eller Exchange -fejl. Menneskelige aktører genererer planlagte opgaver og scripts for at skabe filfri vedholdenhed ved at køre PowerShell-downloadscriptet igen for at hente kommando og kontrol (C2) infrastruktur. Det handler om at genaktivere alle malware-komponenter, der er blevet deaktiveret eller fjernet. Husk, at webskal forbliver på et system, selv efter at de er lappet.
For at gøre vedholdenhed mere modstandsdygtig hoster de scripts på flere websteder (hvilket gør det svært at fjerne), og som backup bruger de også WMI Event Consumers eller et arsenal af værktøjer, der inkluderer adgang til RDP -adgang, Exchange -webskaller, Screen Connect, og fjernadgangsværktøjer (RAT'er).
LemonDuck forsøger automatisk at deaktivere den skybaserede Microsoft Defender til overvågning i realtid ved at tilføje hele C: -drevet til listen over ekskluderinger fra Microsoft Defender. Windows 10 “Sabotagebeskyttelse” bør forhindre disse handlinger.
Andre leverandører, der er målrettet mod LemonDucks anti-malware-fjernelsesaktiviteter, omfatter ESET, Kaspersky, Avast, Norton Security og MalwareBytes.
Når et af LemonDucks værktøjer er kommet ind i et netværk, forsøger det at vurdere, om en kompromitteret enhed kører Outlook. I så fald scanner den postkassen for kontakter og begynder at sprede malware i e -mails med .zip-, .js- eller .doc/.rtf -filer vedhæftet.
“Angriberne blev også observeret manuelt igen i et miljø, især i tilfælde, hvor kant sårbarheder blev brugt som en indledende postvektor,” forklarer Microsoft.
“Angriberne lapper også den sårbarhed, de brugte til at komme ind på netværket for at forhindre andre angribere i at komme ind. Som nævnt blev angriberne set ved hjælp af en kopi af et Microsoft-leveret reduktionsværktøj til Exchange ProxyLogon-sårbarhed, som de hostede på deres infrastruktur for at sikre, at andre angribere ikke får adgang til web -shell, som de havde. ”
Med andre ord kan LemonDuck muligvis kun implementere krypto-minearbejdere, der dræner CPU-ressourcer, men længderne, de går for at blive på et netværk, sætter dem i et andet lys end bare en gene. Det kan være værd at sikkerhedsteams tid til at gennemgå Microsofts tips mod slutningen af sin analyse for at jagte LemonDuck-trusler og værktøjer på et netværk, for når LemonDuck først er ombord, ønsker det virkelig ikke at forlade.
Relaterede emner:
Sikkerhed TV Datahåndtering CXO datacentre 