小百科,大世界
首页 / 计算机 / IT资讯

[0]LemonDuck利用EternalBlue漏洞进行加密挖掘攻击 繁體

来自奥法和NetbyteSEC安全研究人员的最新报告揭示了LemonDuck恶意软件的死灰复燃,该恶意软件现在正在利用微软服务器消息块(SMB)协议中的EternalBlue漏洞(CVE-2017-0144)来促进加密攻击。臭名昭著的漏洞 EternalBlue最早被臭名昭着的 WannaCry 勒索软件利用,它仍然是 LemonDuck等恶意软件的关键入侵点,后者瞄准网络资源来挖掘加密货币,同时逃避检测。

LemonDuck被确认为一种复杂的加密挖矿恶意软件,使用多种攻击向量,包括钓鱼电子邮件、强力密码攻击和SMB攻击。一旦它能够访问一个易受的系统,它就会建立控制并利用机器的处理能力进行加密。“LemonDuck 使用PowerShell来避免检测,部署各种恶意有效载荷,并针对系统进行加密劫持,”研究人员指出。

攻击始于对SMB服务的蛮干攻击,利用EternalBlue漏洞获取未经授权的访问。在报告的案例研究中,研究人员透露,攻击者来自台湾台中市的一个IP,成功地破坏了一个SMB服务,授予他们管理权限。根据该报告,“攻击者为C:驱动器创建了一个隐藏的管理共享,使得在受害者不知情的情况下能够远程访问。”

攻击者一旦获得访问权,就会使用批处理文件p.bat来发起一系列恶意操作。这些操作包括复制恶意文件(msInstall.exe),对其进行重命名,以及设置防火墙规则以将流量重定向到远程服务器。报告指出,“该批处理文件还执行一个编码为 base64的PowerShell脚本,从远程URL下载其他恶意软件,并安排任务以确保持久执行。”

LemonDuck的主要目标是利用系统资源进行加密挖掘。为了达到这个目的,恶意软件使用各种技术来保持持久性和避免被检测到。其中一种方法包括禁用Windows Defender实时保护,并将整个C:驱动器添加到排除列表中,确保安全软件忽略恶意活动。该报告强调,“此恶意软件能够禁用Windows Defender的实时保护,并为整个C:驱动器和PowerShell进程,以避免被检测。”

该恶意软件还操纵网络设置,在与DNS相关的规则下打开TCP端口(65532、65531、65539),并使用端口代理将出站流量伪装成合法的DNS请求。这使得恶意软件能够与其命令与控制(C2)服务器通信并泄漏数据,而不会在典型的网络监控系统中引起警报。

该报告提供了几个与LemonDuck相关的折衷指标(IOC),包括IP地址、URL和恶意可执行文件。攻击中标记的关键URL之一是/gim.jsp,用于下载额外的恶意软件有效载荷。VirusTotal 已将此URL标记为恶意,并将其与加密活动联系起来。

为了减轻这些攻击,我们敦促组织对其系统进行补丁,以抵御已知的漏洞,特别是 EternalBlue (CVE-2017-0144)。定期更新软件并使用能够检测网络横向移动的高级安全解决方案,对于防止 LemonDuck 这样的恶意软件站稳脚跟至关重要。

LemonDuck 恶意软件继续发展,采用了强力SMB漏洞、加密有效载荷和高级规避技术相结合的方式来破坏易受的系统。正如报告所指出的,“对于组织来说,确保定期更新所有操作系统和软件以防范已知漏洞(包括 EternalBlue (CVE-2017-0144))至关重要,以最大限度地降低被泄露的风险。”

本文翻译自securityonline 原文链接。如若转载请注明出处。
商务合作,文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载,请参考转载声明,注明出处: /post/id/300586

安全客 - 有思想的安全新媒体

[来源: 安全客]

首页 / 计算机 / IT资讯
相关连接:
Prev:
6Microsoft 将 Storm0501 确定为混合云勒索软件攻击中的主要威胁
7新的 HTML 走私活动向讲俄语的用户提供 DCRat 恶意软件
8爱尔兰 DPC 因违反 GDPR 而对 Meta 处以 9100 万欧元的罚款
Next:
9CVE202451479 Next.js授权绕过漏洞影响数百万开发人员
7Meta 因 2018 年影响 2900 万账户的数据泄露事件被罚款 2.51 亿欧元
16Play 勒索软件声称 Krispy Kreme 泄露威胁数据泄露
11UAC0125 滥用 Cloudflare 工作者分发伪装成 Army+ 应用程序的恶意软件
5Earth Koshchei 的流氓 RDP 活动 针对政府和企业的复杂 APT 攻击
资源来自网络,仅供参考