Erkennung von LemonDuck-Malware: Ausnutzung von CVE-2017-0144 und anderen Schwachstellen des Microsoft Server Message Block (SMB) für den Kryptowährungsabbau
Inhaltsverzeichnis:
LemonDuck, ein berüchtigtes Krypto-Mining-Malware, wurde dabei beobachtet, wie es Windows-Server angreift, indem es bekannte Schwachstellen im Server Message Block (SMB)-Protokoll von Microsoft ausnutzt, einschließlich der EternalBlue-Schwachstelle mit der Kennung CVE-2017-0144. Die Malware hat sich zu einer fortschrittlicheren Bedrohung entwickelt, die in der Lage ist, Anmeldedaten zu stehlen, mit Erkennungsausweichtechniken angereichert ist und sich über mehrere Angriffsvektoren verbreitet.
Erkennen von LemonDuck-Malware-Angriffen, die SMB-Schwachstellen in Windows-Servern ausnutzen
Kryptomining-Angriffe haben in den letzten Jahren zugenommen, was die Sensibilisierung für Krypto-Jacking umso wichtiger macht. Eine kürzliche Kampagne der LemonDuck-Krypto-Miner-Operatoren verdeutlicht diese wachsende Bedrohung, da sie Microsoft Server SMB-Schwachstellen—wie EternalBlue—ausnutzt und dabei ausgeklügelte Ausweichtechniken anwendet, um ihre Wirkung zu maximieren.
Um sich über die LemonDuck-Angriffe auf dem Laufenden zu halten, könnten Cyber-Abwehrkräfte auf die SOC Prime-Plattform setzen, die kollektive Cyberverteidigung durch aggregierte, maßgeschneiderte Erkennungsregeln bietet, unterstützt durch ein komplettes Produktsortiment für fortschrittliche Bedrohungserkennung, automatisierte Bedrohungssuche und KI-gesteuerte Erkennungsentwicklung. Drücken Sie einfach den Explore Detections Knopf, um sofort zur relevanten Sammlung von Sigma-Regeln zu gelangen.
Das SOC Prime-Team hat in Zusammenarbeit mit erfahrenen Threat Bounty-Entwicklern 13 Erkennungsregeln entwickelt, die böswillige Aktivitäten im Zusammenhang mit LemonDuck-Angriffen identifizieren sollen. Diese Regeln sind vollständig kompatibel mit mehr als 30 SIEM-, EDR- und Data Lake-Plattformen und sind auf den MITRE ATT&CK®-Rahmenabgestimmt. Jede Erkennungsregel ist mit reichhaltigen Metadaten angereichert, wie z.B. Bedrohungsintelligenz Links, Angriffstimelines, Priorisierungsvorschlägen, Prüfempfehlungen und anderen wertvollen Einblicken, um eine effektive Bedrohungserkennung zu unterstützen.
Interessieren Sie sich für die Crowdsourcing-Initiative von SOC Prime? Qualifizierte Cybersicherheitsfachleute, die ihre Detection Engineering- und Threat Hunting-Expertise erweitern möchten, können zur Branche beitragen, indem sie an unserem Threat Bounty-Programmteilnehmen. Diese Initiative ermöglicht es Erkennungserstellern, nicht nur ihre Fähigkeiten zu schärfen, sondern auch finanzielle Belohnungen zu verdienen, während sie eine entscheidende Rolle bei der Stärkung globaler Cybersicherheitsbemühungen spielen.
LemonDuck Malware-Analyse
Mit dem signifikanten Anstieg von Krypto-Malware , die für illegales Mining (Krypto-Jacking) entwickelt wurde, und der kontinuierlichen Entwicklung solcher bösartigen Bedrohungen suchen globale Organisationen und Einzelanwender nach Möglichkeiten, ihre Abwehrkapazitäten zu verbessern. NetbyteSEC veröffentlichte aktuell Forschungen über die LemonDuck-Malware, die sich von einem einfachen Kryptowährungs-Mining-Botnet zu einer raffinierteren Bedrohung entwickelt hat, die seit ihrem Auftreten im Jahr 2019 Windows-Server ins Visier nimmt.
LemonDuck wurde entdeckt, wie es die bekannte EternalBlue-Schwachstelle (CVE-2017-0144) zusammen mit anderen Microsoft SMB-Schwächen nutzt, um in Netzwerke einzudringen, Sicherheitsmaßnahmen zu deaktivieren und Kryptowährung zu schürfen. Die Malware nutzt multiple Infektionsvektoren, einschließlich Phishing-E-Mails, kann brute-force Passwörter angreifen und verwendet PowerShell zur Ausweichung der Erkennung und zum Einsatz bösartiger Payloads für Krypto-Jacking.
In den ersten Angriffsstufen nutzten die Angreifer die IP-Adresse 211.22.131.99, um Brute-Force-Angriffe gegen die SMB-Maschine durchzuführen und erfolgreich Zugang zu erhalten, indem sie sich als lokaler Benutzer mit dem Namen Administrator anmeldeten. Nach der Anmeldung im Konto richteten die Angreifer ein verstecktes administratives Share für das C:-Laufwerk ein, das den Fernzugriff auf das Laufwerk für Benutzer mit erhöhten Zugangsdaten ermöglicht. Dieses versteckte Share ermöglichte es den Angreifern, Persistenz aufrechtzuerhalten, Fernzugriff zu gewinnen und die Erkennung zu umgehen, während sie böswillige Aktionen über Batch-Dateien und PowerShell-Skripts durchführten. Letzteres beinhaltet Netzausnutzungs-Setup, das Herunterladen und Ausführen von Skripts, das Erstellen und Umbenennen von Ausführungsdateien, das Konfigurieren von geplanten Aufgaben zur Persistenz, das Ändern von Firewall-Regeln, das Starten des Treibers und das Erzwingen von Systemneustarts als Mittel zur Erkennungsausweichung und Anti-Malware-Analyse. Der Angriff endet mit der Bereinigung, um die Infektionsspuren zu verbergen und die endgültige Ausführung durchzuführen.
Die Malware deaktiviert die Echtzeitüberwachung von Windows Defender und führt andere offensive Operationen durch, um die Tarnung aufrechtzuerhalten und die C2-Kommunikation zu erleichtern, wodurch es den Angreifern ermöglicht wird, das System zu kontrollieren oder Daten zu exfiltrieren, während die Erkennung durch Sicherheitstools umgangen wird. Darüber hinaus versucht LemonDuck, mehr bösartige Skripte herunterzuladen, und verwendet Mimikatz , um Anmeldedaten zu stehlen, wodurch sie sich potenziell seitlich im Netzwerk bewegen kann.
Mit der Entwicklung von LemonDuck, einer heimlichen Krypto-Mining-Malware, die multiple Erkennungsausweichungstechniken nutzt, wird empfohlen, dass Organisationen regelmäßig alle Betriebssysteme und Softwareaktualisierungen durchführen, um sich gegen bekannte SMB-Schwachstellen wie EternalBlue zu schützen und das Risiko einer Kompromittierung zu reduzieren. Durch die Nutzung der SOC Prime-Plattform für kollektive Cyberverteidigungkönnen Sicherheitsingenieure eine zukunftssichere Cybersicherheitsposition entwickeln, um stets den aufkommenden Bedrohungen einen Schritt voraus zu sein.
