柠檬鸭
恶意软件研究人员继续发现采用各种加密劫持恶意软件的威胁性活动越来越多。最新发现是Lemon_Duck威胁。看来,大多数涉及这种加密劫持恶意软件的活动最初都集中在亚洲。但是,此后,Lemon_Duck恶意软件已遍及全球,每天都在造成越来越多的受害者。 Lemon_Duck威胁的作者似乎主要针对公司,因为这通常比追求普通用户更有利可图。 Lemon_Duck威胁的创建者旨在破坏尽可能多的系统,建立一个加密货币矿工,并使用受感染主机的处理能力来挖掘加密货币。当然,所有现金都将转移到攻击者的加密货币钱包中。
蛮力攻击
Lemon_Duck的目标是连接到Web的知名不安全服务(包括Microsoft SQL(MS-SQL))感染主机。此威胁检查两个已知的Web服务SMB(445),MS-SQL(1433),以及在感染主机时默认情况下运行Lemon_Duck的一个Web服务。 Lemon_Duck威胁使用密码执行蛮力攻击,试图将其强制进入目标主机。再次执行与前面提到的蛮力攻击类似的操作,除了这次,攻击者使用散列来获取对目标NTLM(NT Lan计算机)服务的访问权限。
当Lemon_Duck恶意软件设法渗透到系统时,它可以:
- 用恶意LNK文件破坏USB驱动器。
- 以易受攻击的Samba服务为目标,并利用EternalBlue漏洞在主机之间传播。
- 尝试使用蛮力字典攻击向RDP授权。
收集有关主机的信息
为了对受感染的主机保持持久性,Lemon_Duck威胁向Windows启动文件夹中添加了一个" lnk"文件。除了通过渗透系统中植入的加密货币挖矿机挖掘加密货币之外,Lemon_Duck恶意软件还可以使用WMI(Windows管理规范)服务执行远程命令。 Lemon_Duck恶意软件可确保连接到攻击者的C&C(命令与控制)服务器,并每小时向他们提供信息。 Lemon_Duck威胁正在窃取其操作员的信息包括有关受感染系统上存在的用户帐户的数据以及软件和硬件信息。
诸如Lemon_Duck恶意软件之类的威胁并不少见,网络罪犯在寻找收款方式方面变得更具创造力。因此,至关重要的是拥有一个合法的反恶意软件工具,该工具可以保护您的数据和系统,使其免受Lemon_Duck恶意软件之类的害虫的侵害。
