بدافزار ماینر Lemon_Duck برای هدف قراردادن سیستمهای لینوکس بهروز رسانی شده است. این بدافزار حملات خود را از طریق بروت فورس SSH و اکسپلویت آسیبپذیری SMBGhost برای سیستمهای دارای نسخه های Redis و Hadoop اجرا میکند.
شناسه آسیبپذیری:
درجه آسیبپذیری:
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Base Score: ۱۰ Critical
سیستمهای آسیبپذیر:
Microsoft Server Message Block 3.1.1 (SMBv3) protocol
توضیحات
این بدافزار در سال ۲۰۱۹ توسط Trend Micro پیدا شد. بدافزار Lemon_Duck شبکههای سازمانها را هدف قرار میدهد و از طریق سرویس MS SQL کنترل شبکه را در اختیار میگیرد. روش کار این بدافزار با استفاده از brute-forcing یا پروتکل SMB است. طبق گفته Ophir Harpaz از Guardicore پروتکل SMB که مورد هدف این بدافزار قرار گرفته است، از EternalBlue استفاده میکند. زمانی که سیستم توسط این بدافزار آلوده شد، بدافزار یک پیلود XMRig Monero (XMR) CPU miner را بر روی سیستم ایجاد میکند و از منابع سیستم برای استخراج رمزارز توسط Lemon_Duck استفاده میکند.
شکار Linux boxes و cloud apps:
برای پیدا کردن سیستمهای لینوکس که بتواند از طریق حملات بروت فورس SSH آلوده شود، Lemon_Duck با ساختن یک ماژول اسکن پورت برای جستجوی سیستمهای لینوکس متصل به اینترنت، سیستمهای لینوکس با پورت باز ۲۲ اقدام میکند.
وقتی سیستم لینوکسی پیدا شد، حمله بروت فورسSSH اجرایی میشود. این حمله را با اسم کاربری root و لیست رمزعبور هاردکد شده انجام میشود. اگر حمله موفق آمیز باشد حمله کننده میتواند روی سیستم کد مخرب shellcode اجرایی کند. همچنین بدافزار برای اجرایی بودن در ریبوت سیستم، این بدافزار سعی بر تاثیر دائمی گذاشتن روی سیستم دارد و این کار را با اضافه کردن cron job انجام میدهد. این بدافزار بهدنبال سیستمهای لینوکسی جدیدتر برای اجرای پیلود است و جستجو را با استفاده از اکانتهای احرازهویت SSH از طریق فایل / .ssh/known_hosts انجام میدهد. بهعلاوه بدافزار Lemon_Duck نسخههای دیگر رمزارزها بر روی سیستم نصب شده را پاک میکند تا از تمام توان سیستم برای استخراج رمزارز استفاده کند.
بازیگران پشت پرده Lemon_Deck با از کار انداختن دو ماژول بدافزار EternalBlue و Mimikatz به مدت دو ماه، تاثیر ماژول SMBGhost را بررسی نمودند. بعد از انتقال استخراج کننده XMRig روی سیستم قربانی، بدافزار سعی در غیرفعال کردن فشردهساز SMBv3 میکند و پورتهای ۴۴۵ و ۱۳۵ SMB را غیرفعال میکند. غیرفعال کردن این دو پورت به دلیل جلوگیری کردن از اکسپلویت آسیبپذیری توسط افراد دیگر روی سیستمهای آلوده شده است. سازندگان Lemon_Deck ماژولهای اسکن و شناسایی سرورهایی که از دیتابیس Redis(REmote DIctionary Server) و Hadoop را نیز به بدافزار اضافه نمودهاند.
به منظور شناسایی حملات از نوع Lemon_Duck می بایست IoC های به روز بر روی سامانههای امنیتی سازمان به روزرسانی و اعمال گردد.
باگدشت در این صفحه به بررسی بدافزار Lemon_Duck cryptominer پرداخت . ایمدواریم از این آموزش نهایت استفاده را برده باشید.