Microsoft har fortsatt analysen av LemonDuck-skadelig programvare, kjent for å installere krypto-gruvearbeidere i bedriftsmiljøer. Det er en sterk argumentasjon for hvorfor det er verdt å fjerne det fra nettverket ditt.
Denne gruppen, ifølge Microsoft, har et velfylt arsenal av hackingsverktøy, triks og bedrifter rettet mot én ting: for at malware skal beholde eksklusiv tilgang til et kompromittert nettverk så lenge som mulig.
Mens krypto-mining malware kan bare være en plage, LemonDuck-attributter antyder at angripergruppen virkelig prøver å eie kompromitterte nettverk ved å deaktivere skadelig programvare, fjerne rivaliserende skadelig programvare og til og med automatisk reparere sårbarheter-et konkurransedyktig forsøk på å hindre rivaliserende angripere fra å mate seg gresset.
“Dette gjør det mulig for dem å begrense synligheten av angrepet til [sikkerhetsoperasjonssenter] analytikere i en organisasjon som kanskje prioriterer ikke-patchede enheter for etterforskning, eller som vil overse enheter som ikke har et stort volum malware til stede,” forklarte Microsoft i en oppfølgingsanalyse av LemonDuck til en den ble publisert tidligere.
De kritiske såkalte ProxyLogon Microsoft Exchange Server-utnyttelsene fra mars og april ble behandlet på denne måten av LemonDuck-angripere. De brukte feilene til å installere nettskall på Exchange -servere for ekstern tilgang til upatchede systemer og for å installere ytterligere LemonDuck -skadelig programvare. I noen tilfeller brukte LemonDuck-angriperne omdøpte kopier av Microsoft Exchange On-Premises Mitigation Tool (utgitt av Microsoft 15. mars) for å fikse feilen de hadde brukt for å få tilgang i utgangspunktet, ifølge Microsoft.
“De gjorde det samtidig som de opprettholder full tilgang til kompromitterte enheter og begrenser andre aktører fra å misbruke de samme Exchange -sårbarhetene,” legger den til.
De bruker også filfri malware som utfører in-memory og prosessinjeksjon, noe som gjør det vanskeligere å fjerne fra et miljø.
Microsofts beskrivelse av LemonDucks teknikker og verktøy tyder på at gruppen har lagt mye arbeid i å være vanskelig å starte et nettverk mens de bruker flere metoder for å få fotfeste, inkludert bedrifter, angrep på passordgjennomgang og bedrifter mot SSH, MSSQL, SMB, Exchange, RDP, REDIS og Hadoop YARN for Linux- og Windows-systemer.
LemonDucks automatiserte oppføring er avhengig av en liten fil med JavaScript for å starte en PowerShell CMD -prosess som starter Notisblokk og PowerShell -skriptet inne i JavaScript.
Den manuelle oppføringen inkluderer RDP brute force -passordangrep eller Exchange -feil. Menneskelige aktører genererer planlagte oppgaver og skript for å lage filløs utholdenhet ved å kjøre PowerShell-nedlastingsskriptet på nytt for å hente inn kommando og kontroll (C2) infrastruktur. Det handler om å aktivere skadelige skadelige komponenter som er deaktivert eller fjernet. Husk at nettskall vedvarer på et system selv etter at de er lappet.
For å gjøre utholdenhet mer motstandsdyktig, er de vertskap for skript på flere nettsteder (noe som gjør det vanskelig å fjerne), og som sikkerhetskopiering bruker de også WMI Event Consumers, eller et arsenal av verktøy som inkluderer tilgang til RDP -tilgang, Bytt nettskjell, Screen Connect og verktøy for ekstern tilgang (RAT).
LemonDuck prøver automatisk å deaktivere den skybaserte Microsoft Defender for overvåking i sanntid ved å legge hele C: -stasjonen til ekskluderingslisten for Microsoft Defender. Windows 10 “Sabotasjebeskyttelse” skal forhindre disse handlingene.
Andre leverandører som målrettes av LemonDucks anti-malware-fjerningsaktiviteter inkluderer ESET, Kaspersky, Avast, Norton Security og MalwareBytes.
Når du er inne i et nettverk, prøver et av LemonDucks verktøy å vurdere om en kompromittert enhet kjører Outlook. I så fall skanner den postboksen for kontakter og begynner å spre skadelig programvare i e -post med .zip-, .js- eller .doc/.rtf -filer vedlagt.
“Angriperne ble også observert manuelt for å komme inn i et miljø igjen, spesielt i tilfeller der kant sårbarheter ble brukt som en første oppføringsvektor,” forklarer Microsoft.
“Angriperne lapper også sårbarheten de brukte for å gå inn i nettverket for å hindre andre angripere i å komme inn. Som nevnt ble angriperne sett ved hjelp av en kopi av et Microsoft-levert reduksjonsverktøy for Exchange ProxyLogon-sårbarhet, som de var vert for på infrastrukturen, for å sikre at andre angripere ikke får tilgang til nettskall slik de hadde. “
Med andre ord kan LemonDuck bare distribuere krypto-gruvearbeidere som tømmer CPU-ressurser, men lengden de går for å bli på en nettverket satte dem i et annet lys enn bare en plage. Det kan være vel verdt sikkerhetsteams tid å gjennomgå Microsofts tips mot slutten av analysen for å jakte på LemonDuck-trusler og -verktøy på et nettverk, for når LemonDuck først er ombord, vil det virkelig ikke dra.
< h3> Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 