Detecção de Malware LemonDuck: Explora CVE-2017-0144 e Outras Vulnerabilidades SMB do Microsoft para Mineração de Criptomoedas

[post-views]
Outubro 10, 2024 · 5 min de leitura
Detecção de Malware LemonDuck: Explora CVE-2017-0144 e Outras Vulnerabilidades SMB do Microsoft para Mineração de Criptomoedas

LemonDuck, um malware notório de mineração de criptomoedas, foi observado atacando servidores Windows explorando vulnerabilidades conhecidas no protocolo Server Message Block (SMB) da Microsoft, incluindo a falha EternalBlue rastreada como CVE-2017-0144. O malware evoluiu para uma ameaça mais avançada capaz de roubo de credenciais, enriquecido com técnicas de evasão de detecção, e se espalhando por múltiplos vetores de ataque.

Detectar Ataques de Malware LemonDuck que Exploram Vulnerabilidades SMB em Servidores Windows

Ataques de criptomineração têm aumentado nos últimos anos, tornando crucial aumentar a conscientização sobre o cryptojacking. Uma campanha recente pelos operadores do minerador LemonDuck exemplifica essa ameaça crescente, explorando vulnerabilidades do Server SMB da Microsoft—como o EternalBlue—enquanto utiliza técnicas sofisticadas de evasão para maximizar seu impacto.

Para se manter atualizado sobre os ataques do LemonDuck, os defensores cibernéticos podem contar com a SOC Prime Platform para defesa cibernética coletiva, agregando regras de detecção personalizadas respaldadas por um conjunto completo de produtos para detecção avançada de ameaças, caça automatizada de ameaças e engenharia de detecção alimentada por IA. Basta pressionar o botão Explore Detections para imediatamente explorar uma coleção relevante de regras Sigma.

Explore Detections

A Equipe SOC Prime, em colaboração com desenvolvedores especialistas do Threat Bounty, desenvolveu 13 regras de detecção projetadas para identificar atividades maliciosas ligadas aos ataques do LemonDuck. Essas regras são totalmente compatíveis com mais de 30 plataformas SIEM, EDR e Data Lake e estão alinhadas com o framework MITRE ATT&CK®. Cada regra de detecção é aprimorada com metadados ricos, como links de inteligência sobre ameaças , cronogramas de ataques, sugestões de triagem, recomendações de auditoria e outros insights valiosos para auxiliar na detecção eficaz de ameaças.

Interessado em participar da iniciativa de crowdsourcing da SOC Prime? Profissionais de segurança cibernética qualificados que desejam aprimorar sua experiência em Engenharia de Detecção e Caça de Ameaças podem contribuir para a indústria participando de nosso Programa Threat Bounty. Esta iniciativa permite que os criadores de conteúdo de detecção não apenas aperfeiçoem suas habilidades, mas também ganhem recompensas financeiras, enquanto desempenham um papel crucial no fortalecimento dos esforços globais de segurança cibernética.

Análise do Malware LemonDuck

Com o aumento significativo de malwares de criptomoedas projetados para realizar mineração ilegal (cryptojacking) e a contínua evolução dessas linhagens maliciosas, organizações globais e usuários individuais estão buscando maneiras de aprimorar suas capacidades defensivas. NetbyteSEC publicou recentemente uma pesquisa sobre o malware LemonDuck, que evoluiu de um botnet simples de mineração de criptomoedas para uma ameaça mais sofisticada visando servidores Windows desde seu surgimento em 2019.

LemonDuck foi detectado armando a conhecida vulnerabilidade EternalBlue (CVE-2017-0144) junto com outras falhas do SMB da Microsoft para infiltrar redes, desativar medidas de segurança e minerar criptomoedas. O malware aplica múltiplos vetores de infecção, incluindo e-mails de phishing, é capaz de ataques de força bruta a senhas e utiliza PowerShell para evadir a detecção e implantar cargas maliciosas para cryptojacking.

Nas etapas iniciais do ataque, adversários usaram o endereço IP 211.22.131.99 para realizar ataques de força bruta contra a máquina SMB e obtiveram sucesso ao acessar como um usuário local chamado Administrador. Após fazer login na conta, os atacantes configuraram um compartilhamento administrativo oculto para a unidade C:, concedendo acesso remoto à unidade para usuários com credenciais elevadas. Este compartilhamento oculto permitiu que os adversários mantivessem a persistência, obtivessem acesso remoto e contornassem a detecção enquanto realizavam ações maliciosas por meio de arquivos em lote e scripts PowerShell. O último envolve configuração de exploração de rede, download e execução de scripts, criação e renomeação de executáveis, configuração de tarefas agendadas para persistência, alteração de regras de firewall, início do driver e forçar reinicializações do sistema como forma de evadir a detecção e análise anti-malware. O ataque termina com limpeza para ocultar os vestígios de infecção e execução final.

O malware desativa a monitoração em tempo real do Windows Defender e realiza outras operações ofensivas para manter a furtividade e facilitar a comunicação C2, permitindo aos atacantes controlar o sistema ou exfiltrar dados enquanto evitam a detecção por ferramentas de segurança. Além disso, o LemonDuck tenta baixar mais scripts maliciosos e usa Mimikatz para roubar credenciais, potencialmente permitindo que ele se mova lateralmente dentro da rede.

Com a evolução do malware de mineração de criptomoedas LemonDuck, usando múltiplas técnicas de evasão de detecção, as organizações são incentivadas a atualizar regularmente todos os sistemas operacionais e softwares para proteger contra vulnerabilidades SMB conhecidas como a EternalBlue e reduzir os riscos de comprometimento. Ao contar com a SOC Prime Platform para defesa cibernética coletiva, engenheiros de segurança podem construir uma postura de segurança cibernética à prova de futuro para sempre estar à frente das ameaças emergentes.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas