Détection du Malware LemonDuck : Exploite CVE-2017-0144 et Autres Vulnérabilités du Server Message BlockSMB de Microsoft pour le Minage de Cryptomonnaie
Table des matières :
LemonDuck, un logiciel malveillant de crypto-minage notoire, a été observé ciblant les serveurs Windows en exploitant des vulnérabilités connues dans le protocole Server Message Block (SMB) de Microsoft, y compris la faille EternalBlue répertoriée sous le CVE-2017-0144. Le logiciel malveillant a évolué en une menace plus avancée capable de vol de données d’identification, enrichie de techniques d’évasion de détection, et se propage par le biais de multiples vecteurs d’attaque.
Détecter les attaques du malware LemonDuck exploitant les vulnérabilités SMB dans les serveurs Windows
Les attaques de cryptominage ont augmenté ces dernières années, rendant crucial de sensibiliser au cryptojacking. Une campagne récente des opérateurs du cryptomineur LemonDuck illustre cette menace croissante, exploitant les vulnérabilités SMB du serveur Microsoft — telles qu’EternalBlue — tout en utilisant des techniques d’évasion sophistiquées pour maximiser son impact.
Pour rester au fait des attaques LemonDuck, les défenseurs cybernétiques pourraient s’appuyer sur la plateforme SOC Prime pour une défense cybernétique collective, agrégeant des règles de détection sur mesure appuyées par une suite complète de produits pour la détection avancée des menaces, la chasse automatisée aux menaces, et l’ingénierie de détection alimentée par l’intelligence artificielle. Il suffit d’appuyer sur le Explorer les détections bouton pour approfondir immédiatement une collection pertinente de règles Sigma.
L’équipe SOC Prime, en collaboration avec des développeurs experts Threat Bounty, a développé 13 règles de détection conçues pour identifier les activités malveillantes liées aux attaques LemonDuck. Ces règles sont entièrement compatibles avec plus de 30 plateformes SIEM, EDR et Data Lake et sont alignées sur le cadre MITRE ATT&CK®. Chaque règle de détection est enrichie de métadonnées riches, telles que liens de renseignement sur les menaces , chronologies des attaques, suggestions de triage, recommandations d’audit, et autres informations précieuses pour aider à une détection efficace des menaces.
Intéressé par rejoindre l’initiative de crowdsourcing de SOC Prime ? Les professionnels qualifiés en cybersécurité souhaitant améliorer leur expertise en ingénierie de détection et en chasse aux menaces peuvent contribuer à l’industrie en participant à notre Programme Threat Bounty. Cette initiative permet aux créateurs de contenu de détection de non seulement affiner leurs compétences mais aussi de gagner des récompenses financières, tout en jouant un rôle crucial dans le renforcement des efforts globaux de cybersécurité.
Analyse du malware LemonDuck
Avec l’augmentation significative des malwares cryptographiques conçus pour effectuer du minage illégal (cryptojacking) et l’évolution continue de ces souches malveillantes, les organisations mondiales et les utilisateurs individuels recherchent des moyens d’améliorer leurs capacités de défense. NetbyteSEC a actuellement publié des recherches sur le malware LemonDuck, qui a évolué d’un simple botnet de minage de cryptomonnaie en une menace plus sophistiquée ciblant les serveurs Windows depuis son émergence en 2019.
LemonDuck a été détecté exploitant la vulnérabilité connue EternalBlue (CVE-2017-0144) ainsi que d’autres failles SMB de Microsoft pour infiltrer les réseaux, désactiver les mesures de sécurité, et miner de la cryptomonnaie. Le logiciel malveillant applique plusieurs vecteurs d’infection, y compris les emails de phishing, est capable d’attaques par force brute sur les mots de passe, et utilise PowerShell pour échapper à la détection et déployer des charges malveillantes pour le cryptojacking.
Aux premiers stades de l’attaque, les adversaires ont utilisé l’adresse IP 211.22.131.99 pour effectuer des attaques par force brute contre la machine SMB et ont réussi à accéder en se connectant en tant qu’utilisateur local nommé Administrateur. Après avoir accédé au compte, les attaquants ont configuré un partage administratif caché pour le lecteur C:, offrant un accès à distance au lecteur pour les utilisateurs avec des permissions élevées. Ce partage caché a permis aux adversaires de maintenir leur persistance, obtenir un accès à distance, et contourner la détection tout en réalisant des actions malveillantes via des fichiers batch et des scripts PowerShell. Les actions incluent la mise en place d’une exploitation du réseau, le téléchargement et l’exécution de scripts, la création et le renommage d’exécutables, la configuration de tâches planifiées pour la persistance, la modification des règles de pare-feu, le démarrage du pilote et le forçage des redémarrages du système comme moyen d’évasion de la détection et d’analyse anti-programmes malveillants. L’attaque se termine par un nettoyage pour masquer les traces d’infection et une exécution finale.
Le logiciel malveillant désactive la surveillance en temps réel de Windows Defender et réalise d’autres opérations offensives pour maintenir la discrétion et faciliter la communication C2, permettant aux attaquants de contrôler le système ou d’exfiltrer des données tout en évitant la détection par les outils de sécurité. De plus, LemonDuck tente de télécharger davantage de scripts malveillants et utilise Mimikatz pour voler des identifiants, ce qui pourrait lui permettre de se déplacer latéralement au sein du réseau.
Avec l’évolution du malware cryptominier furtif LemonDuck utilisant de multiples techniques d’évasion de détection, les organisations sont encouragées à mettre régulièrement à jour tous les systèmes d’exploitation et logiciels pour se protéger contre les vulnérabilités SMB connues comme EternalBlue et réduire les risques de compromission. En s’appuyant sur la plateforme SOC Prime pour une défense cybernétique collective, les ingénieurs en sécurité peuvent construire une posture de cybersécurité à l’épreuve du futur pour toujours rester en avance sur les menaces émergentes.
