Site icon Kiber.ba

LemonDuck malver koji iskorištava SMB ranjivosti za napad na Windows servere

LemonDuck malver koji iskorištava SMB ranjivosti za napad na Windows servere-Kiber.ba

LemonDuck malver koji iskorištava SMB ranjivosti za napad na Windows servere-Kiber.ba

LemonDuck maliciozni softver evoluirao je od botneta za rudarenje kriptovalute u „svestrani maliciozni softver“ koji je sposoban „ukrasti kredencijale“, „onemogućiti sigurnosne mjere“ i „širiti se različitim metodama“. 

On cilja i “Windows” i “Linux” sisteme koristeći tehnike kao što su ‘napadi grubom silom’ i ‘iskorištenje poznatih ranjivosti’ kao što je “EternalBlue” da bi se dobio pristup mrežama. 

Aufa i NetbyteSEC pripravnici (Irham, Idham, Adnin, Nabiha, Haiqal, Amirul) nedavno su otkrili da zlonamjerni softver LemonDuck aktivno iskorištava SMB ranjivosti za napad na Windows servere. 

LemonDuck malver koji iskorištava ranjivosti malih i srednjih preduzeća

Pronađen je maliciozni softver LemonDuck koji iskorištava ranjivosti u Microsoftovom protokolu Server Message Block (SMB), posebno ranjivost „ EternalBlue “ (‘CVE-2017-0144’).

Maliciozni softver započinje svoj napad pokušajima grube sile na „ SMB usluge “, koristeći IP adresu „211.22.131.99“ sa Tajvana. 

Nakon što dobije pristup, kreira skrivene administrativne dijeljenja i izvršava niz malicioznih radnji putem batch datoteka i PowerShell skripti. 

Grafikon toka napada (Izvor – NetbyteSEC)

To uključuje ‘kreiranje i preimenovanje izvršnih datoteka’ („msInstall.exe” u „FdQn.exe”), „manipulisanje postavkama zaštitnog zida” i „uspostavljanje prosljeđivanja porta na „1.1.1.1” na „portu 53”.’ 

LemonDuck osigurava postojanost postavljanjem “planiranih zadataka” (‘NFUBffk,’ ‘Autocheck,’ ‘Autoload’) koji se pokreću u redovnim intervalima izvršavanjem zlonamjernih korisnih podataka sa udaljenih URL-ova, navodi NetbyteSEC izvještaj .

Koristi mehanizme protiv otkrivanja kao što su „nadgledanje instanci komandne linije“ i „prisilno ponovno pokretanje sistema“. 

Zlonamjerni softver onemogućuje Windows Defender , stvara izuzeća za disk “C:” i “PowerShell proces” i koristi base64 kodiranje da prikrije svoje aktivnosti. 

Značajne komponente uključuju “svchost.exe” (maskiran kao ‘legitimni sistemski servis’) i ‘različite zakazane zadatke’ koji održavaju infekciju. 

Izvršena jednostruka naredba koja sadrži niz zlonamjernih aktivnosti (Izvor – NetbyteSEC)

Napad se završava procedurama čišćenja kako bi se uklonili dokazi koji pokazuju sveobuhvatan pristup LemonDucka “kriptominingu” i “kompromisu sistema”.

Maliciozni softver je prikriven kao “svchost.exe”, koji je smješten u “C:\Windows\Temp” i koristi datoteku (“ipc.txt”) za signalizaciju.

Onemogućuje Windows Defender, dodaje “C:\” na liste isključenja i otvara “TCP port 65529” za “C2 komunikaciju”. Maliciozni softver sam sebe preimenuje kako bi izbjegao otkrivanje (‘HbxhVCnn.exe’) i postavlja zakazane zadatke radi postojanosti. 

Iskorištava „EternalBlue ranjivost“ (‘CVE-2017-0144’) u SMB uslugama za bočno kretanje. 

Mimikatz izvršavanje koda (Izvor – NetbyteSEC)

Ne samo to, čak koristi PowerShell za preuzimanje dodatnih skripti sa URL-ova kao što je “http://t[.]amynx[.]com/gim[.]jsp, i koristi Mimikatz za krađu akreditiva. 

Napad manipuliše sistemskim uslugama, modifikuje pravila zaštitnog zida i koristi više tehnika za održavanje skrivenosti i osiguravanje ponovljenih izvršavanja. 

Ključne komponente nude „brute-force napade“, „eskalaciju privilegija na nivo SISTEMA“ i „kreiranje malicioznih batch fajlova (‘p.bat’)“ za dalje narušavanje sistema. 

Radnje malicioznog softvera obuhvataju ‘mrežnu manipulaciju’, ‘operacije sa datotekama’ i ‘planirano kreiranje zadataka’, ovo ilustruje složen pristup “infiltraciji i kontroli sistema”.

Izvor: CyberSecurityNews

Exit mobile version