Detección del Malware LemonDuck: Explotaciones de la CVE-2017-0144 y Otras Vulnerabilidades del Protocolo SMB de Microsoft para Minería de Criptomonedas
Tabla de contenidos:
LemonDuck, un malware notorio de cripto minería, ha sido observado apuntando a servidores Windows al explotar vulnerabilidades conocidas en el protocolo Server Message Block (SMB) de Microsoft, incluyendo la vulnerabilidad EternalBlue rastrea como CVE-2017-0144. El malware ha evolucionado hacia una amenaza más avanzada capaz de robo de credenciales, enriquecida con técnicas de evasión de detección, y se propaga a través de múltiples vectores de ataque.
Detectar ataques de malware LemonDuck que explotan vulnerabilidades SMB en servidores Windows
Los ataques de cripto minería han aumentado en los últimos años, haciendo crucial crear conciencia sobre el criptojacking. Una reciente campaña de los operadores del criptominero LemonDuck ejemplifica esta creciente amenaza, explotando vulnerabilidades SMB de Microsoft Server—como EternalBlue—mientras utiliza técnicas de evasión sofisticadas para maximizar su impacto.
Para mantenerse al tanto de los ataques de LemonDuck, los defensores cibernéticos pueden confiar en SOC Prime Platform para la defensa cibernética colectiva agregando reglas de detección personalizadas respaldadas por un conjunto completo de productos para la detección avanzada de amenazas, caza de amenazas automatizada, e ingeniería de detección impulsada por IA. Basta con presionar el botón Explorar Detecciones para inmediatamente profundizar en una colección relevante de reglas Sigma.
El equipo de SOC Prime, en colaboración con desarrolladores expertos de Threat Bounty, ha desarrollado 13 reglas de detección diseñadas para identificar actividades maliciosas relacionadas con los ataques de LemonDuck. Estas reglas son totalmente compatibles con más de 30 plataformas de SIEM, EDR y Data Lake, y están alineadas con el marco MITRE ATT&CK®. Cada regla de detección está mejorada con metadatos ricos, como inteligencia sobre amenazas enlaces, cronologías de ataques, sugerencias de clasificación, recomendaciones de auditoría y otros conocimientos valiosos para ayudar en la detección efectiva de amenazas.
¿Interesado en unirte a la iniciativa de crowdsourcing de SOC Prime? Los profesionales de ciberseguridad con habilidades que buscan mejorar su expertise en Ingeniería de Detección y Caza de Amenazas pueden contribuir a la industria participando en nuestro Programa Threat Bounty. Esta iniciativa permite a los creadores de contenido de detección no solo agudizar sus habilidades, sino también obtener recompensas financieras, todo mientras juegan un papel crucial en el fortalecimiento de los esfuerzos globales de ciberseguridad.
Análisis de Malware LemonDuck
Con el significativo aumento en cripto malware diseñado para realizar minería ilegal (criptojacking) y la continua evolución de estas cepas maliciosas, las organizaciones globales y los usuarios individuales están buscando formas para mejorar sus capacidades defensivas. NetbyteSEC actualmente ha publicado una investigación sobre el malware LemonDuck, que ha evolucionado de un simple botnet de minería de criptomonedas a una amenaza más sofisticada apuntando a servidores Windows desde su aparición en 2019.
Se ha detectado que LemonDuck está utilizando como arma la conocida vulnerabilidad EternalBlue (CVE-2017-0144) junto con otras fallas SMB de Microsoft para infiltrarse en redes, deshabilitar medidas de seguridad y minar criptomonedas. El malware aplica múltiples vectores de infección, incluidos correos electrónicos de phishing, es capaz de ataques de fuerza bruta a contraseñas y emplea PowerShell para evadir la detección y desplegar cargas maliciosas para criptojacking.
En las etapas iniciales del ataque, los adversarios aprovecharon la dirección IP 211.22.131.99 para realizar ataques de fuerza bruta contra la máquina SMB y lograron obtener acceso iniciando sesión como un usuario local llamado Administrador. Después de iniciar sesión en la cuenta, los atacantes establecieron una participación administrativa oculta para la unidad C:, otorgando acceso remoto a la unidad para usuarios con credenciales elevadas. Esta participación oculta permitió a los adversarios mantener la persistencia, obtener acceso remoto y eludir la detección mientras llevaban a cabo acciones maliciosas a través de archivos batch y scripts de PowerShell. Estos últimos implican la configuración de explotación de redes, la descarga y ejecución de scripts, la creación y renombramiento de ejecutables, la configuración de tareas programadas para la persistencia, alteración de reglas de firewall, arranque del controlador y forzado de reinicios del sistema como un medio de evasión de detección y análisis de malware. El ataque termina con la limpieza para dificultar los rastros de la infección y la ejecución final.
El malware desactiva el monitoreo en tiempo real de Windows Defender y realiza otras operaciones ofensivas para mantener el sigilo y facilitar la comunicación C2, permitiendo a los atacantes controlar el sistema o exfiltrar datos mientras evaden la detección por herramientas de seguridad. Además, LemonDuck intenta descargar más scripts maliciosos y usa Mimikatz para robar credenciales, permitiéndole potencialmente moverse lateralmente dentro de la red.
Con la evolución del malware de minería de cripto LemonDuck que utiliza múltiples técnicas de evasión de detección, se anima a las organizaciones a actualizar regularmente todos los sistemas operativos y software para protegerse contra vulnerabilidades SMB conocidas como EternalBlue y reducir los riesgos de compromiso. Al confiar en SOC Prime Platform para la defensa cibernética colectiva, los ingenieros de seguridad pueden construir una postura de ciberseguridad a prueba de futuro para siempre mantenerse por delante de las amenazas emergentes.
