Microsoft heeft zijn analyse van de LemonDuck-malware voortgezet, die bekend staat om het installeren van crypto-miners in bedrijfsomgevingen. Het maakt duidelijk waarom het de moeite waard is om het uit uw netwerk te verwijderen.
Deze groep heeft volgens Microsoft een goed gevuld arsenaal aan hacktools, trucs en exploits die op één ding gericht zijn: hun malware zo lang mogelijk exclusieve toegang tot een gecompromitteerd netwerk te laten behouden.
Hoewel cryptomining-malware alleen maar hinderlijk kan zijn, suggereren LemonDuck-kenmerken dat de aanvallers echt proberen om gecompromitteerde netwerken te bezitten door anti-malware uit te schakelen, rivaliserende malware te verwijderen en zelfs automatisch kwetsbaarheden te patchen – een competitieve inspanning om te voorkomen dat rivaliserende aanvallers zich voeden van zijn gras af.
“Hierdoor kunnen ze de zichtbaarheid van de aanval beperken tot analisten van [security operations center] binnen een organisatie die mogelijk prioriteit geven aan niet-gepatchte apparaten voor onderzoek, of die apparaten over het hoofd zien die geen grote hoeveelheid malware bevatten”, legt Microsoft uit in een vervolganalyse van LemonDuck op een eerder gepubliceerde analyse.
De kritieke zogenaamde ProxyLogon Microsoft Exchange Server-exploits van maart en april werden op deze manier behandeld door LemonDuck-aanvallers. Ze gebruikten de bugs om webshells op Exchange-servers te installeren voor externe toegang tot niet-gepatchte systemen en om aanvullende LemonDuck-malware te installeren. In sommige gevallen gebruikten LemonDuck-aanvallers hernoemde exemplaren van de Microsoft Exchange On-Premises Mitigation Tool (uitgebracht door Microsoft op 15 maart) om de bug te repareren die ze hadden gebruikt om toegang te krijgen, aldus Microsoft.
“Ze deden dit terwijl ze de volledige toegang tot gecompromitteerde apparaten behielden en andere actoren verhinderden dezelfde kwetsbaarheden in Exchange te misbruiken”, voegt het eraan toe.
Ze gebruiken ook bestandsloze malware die in-memory en procesinjectie uitvoert, waardoor het moeilijker te verwijderen is uit een omgeving.
Microsoft's beschrijving van de technieken en tools van LemonDuck suggereert dat de groep veel moeite heeft gedaan om moeilijk een netwerk op te starten terwijl ze meerdere methoden gebruikt om voet aan de grond te krijgen, waaronder exploits, aanvallen om wachtwoorden te raden en exploits tegen SSH, MSSQL, SMB, Exchange, RDP , REDIS en Hadoop YARN voor Linux- en Windows-systemen.
De geautomatiseerde invoer van LemonDuck is gebaseerd op een klein bestand met JavaScript om een PowerShell CMD-proces te starten dat Kladblok en het PowerShell-script in JavaScript start.
De handmatige invoer omvat RDP brute force-wachtwoordaanvallen of Exchange-bugs. Menselijke actoren genereren geplande taken en scripts om persistentie zonder bestanden te creëren door het PowerShell-downloadscript opnieuw uit te voeren om de command and control (C2)-infrastructuur in te voeren. Het draait allemaal om het opnieuw inschakelen van malwarecomponenten die zijn uitgeschakeld of verwijderd. Onthoud dat webshells op een systeem blijven bestaan, zelfs nadat ze zijn gepatcht.
Om persistentie veerkrachtiger te maken, hosten ze scripts op meerdere sites (waardoor het moeilijk is om ze te verwijderen) en gebruiken ze als back-up ook WMI Event Consumers, of een arsenaal aan tools met toegang tot RDP-toegang, Exchange-webshells, Screen Connect, en tools voor externe toegang (RAT's).
LemonDuck probeert de cloudgebaseerde Microsoft Defender voor realtime monitoring van endpoints automatisch uit te schakelen door de volledige C:-schijf toe te voegen aan de Microsoft Defender-uitsluitingslijst. Windows 10 “Sabotagebeveiliging” zou deze acties moeten voorkomen.
Andere leveranciers die het doelwit zijn van de antimalwareverwijderingsactiviteiten van LemonDuck zijn ESET, Kaspersky, Avast, Norton Security en MalwareBytes.
Eenmaal binnen een netwerk probeert een van de tools van LemonDuck te beoordelen of Outlook op een gecompromitteerd apparaat draait. Als dat zo is, scant het de mailbox op contacten en begint het malware te verspreiden in e-mails met .zip-, .js- of .doc/.rtf-bestanden als bijlage.
“De aanvallers werden ook handmatig opnieuw een omgeving binnengedrongen, vooral in gevallen waarin edge-kwetsbaarheden werden gebruikt als initiële toegangsvector”, legt Microsoft uit.
“De aanvallers patchen ook de kwetsbaarheid die ze hebben gebruikt om het netwerk binnen te komen om te voorkomen dat andere aanvallers toegang krijgen. Zoals vermeld, werden de aanvallers gezien met behulp van een kopie van een door Microsoft verstrekte beperkingstool voor Exchange ProxyLogon-kwetsbaarheid, die ze op hun infrastructuur hosten, om ervoor te zorgen dat andere aanvallers geen webshell-toegang krijgen zoals ze hadden.”
Met andere woorden, LemonDuck zet misschien alleen crypto-miners in die CPU-bronnen leegmaken, maar de moeite die ze doen om op een netwerk te blijven, plaatst ze in een ander licht dan alleen maar hinderlijk. Het kan de tijd van beveiligingsteams waard zijn om de tips van Microsoft tegen het einde van hun analyse te bekijken voor het opsporen van LemonDuck-bedreigingen en tools op een netwerk, want als LemonDuck eenmaal aan boord is, wil het echt niet meer weg.
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 