بدافزار Lemon_Duck سیستم‌های لینوکس را هدف قرار داده است

بدافزار ماینر Lemon_Duck برای هدف قراردادن سیستم‌های لینوکس به‌روز رسانی شده است. این بد‌افزار حملات خود را از طریق بروت فورس SSH و اکسپلویت آسیب‌پذیری SMBGhost برای سیستم‌های دارای نسخه های Redis و Hadoop اجرا می‌کند.

شناسه آسیب‌پذیری:

CVE-2020-0796

درجه آسیب‌پذیری:

Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Base Score: 10 Critical

سیستم‌های آسیب‌پذیر:

Microsoft Server Message Block 3.1.1 (SMBv3) protocol

توضیحات

این بد‌افزار در سال ۲۰۱۹ توسط Trend Micro پیدا شد. بدافزار Lemon_Duck شبکه‌های سازمان‌ها را هدف قرار می‌دهد و از طریق سرویس MS SQL کنترل شبکه را در اختیار می‌گیرد. روش کار این بدافزار با استفاده از brute-forcing یا پروتکل SMB است. طبق گفته Ophir Harpaz از Guardicore پروتکل SMB که مورد هدف این بدافزار قرار گرفته است، از EternalBlue استفاده می‌کند. زمانی که سیستم توسط این بدافزار آلوده شد، بدافزار یک پی‌لود XMRig Monero (XMR) CPU miner را بر روی سیستم ایجاد می‌کند و از منابع سیستم برای استخراج رمزارز توسط Lemon_Duck استفاده می‌کند.

شکار Linux boxes و cloud apps:

برای پیدا کردن سیستم‌های لینوکس که بتواند از طریق حملات بروت فورس SSH آلوده شود، Lemon_Duck با ساختن یک ماژول اسکن پورت برای جستجوی سیستم‌های لینوکس متصل به اینترنت، سیستم‌های لینوکس با پورت باز ۲۲ اقدام می‌کند.

وقتی سیستم  لینوکسی پیدا شد، حمله بروت فورسSSH  اجرایی می‌شود. این حمله را با اسم کاربری root و لیست رمزعبور هاردکد شده انجام می‌شود. اگر حمله موفق آمیز باشد حمله کننده می‌تواند روی سیستم کد مخرب shellcode اجرایی کند. همچنین بدافزار برای اجرایی بودن در ریبوت سیستم، این بدافزار سعی بر تاثیر دائمی گذاشتن روی سیستم دارد و این کار را با اضافه کردن cron job انجام می‌دهد. این بدافزار به‌دنبال سیستم‌های لینوکسی جدیدتر برای اجرای پی‌لود است و جستجو را با استفاده از اکانت‌های احرازهویت SSH از طریق فایل / .ssh/known_hosts انجام می‌دهد. به‌علاوه بدافزار Lemon_Duck نسخه‌های دیگر رمزارزها بر روی سیستم نصب شده را پاک می‌کند تا از تمام توان سیستم برای استخراج رمزارز استفاده ‌کند.

بازیگران پشت پرده Lemon_Deck با از کار انداختن دو ماژول بدافزار EternalBlue و Mimikatz به مدت دو ماه، تاثیر ماژول SMBGhost را بررسی نمودند. بعد از انتقال استخراج کننده XMRig روی سیستم قربانی، بدافزار سعی در غیرفعال کردن فشرده‌ساز SMBv3 می‌کند و پورت‌های ۴۴۵ و ۱۳۵ SMB را غیرفعال می‌کند. غیرفعال کردن این دو پورت به دلیل جلوگیری کردن از اکسپلویت آسیب‌پذیری توسط افراد دیگر روی سیستم‌های آلوده شده است. سازندگان Lemon_Deck ماژول‌های اسکن و شناسایی سرورهایی که از دیتابیس Redis(REmote DIctionary Server) و Hadoop را نیز به بدافزار اضافه نموده‌اند.

به منظور شناسایی حملات از نوع Lemon_Duck می بایست IoC های به روز بر روی سامانه‌های امنیتی سازمان به روزرسانی و اعمال گردد.

باگدشت در این صفحه به بررسی بد‌افزار Lemon_Duck cryptominer پرداخت . ایمدواریم از این آموزش نهایت استفاده را برده باشید.

منابع:

  1. Sophos

در صورت تمایل به اشتراگ بگذارید