微软上周解析名为LemonDuck的僵尸网络程序的最新演化情形,利用Exchange Server等ProxyLogon及其他旧漏洞,攻击Windows/Linux服务器及IoT设备。
LemonDuck并非新冒出的威胁。于今年三月微软披露Exchange Server Proxylogon漏洞后,卡巴斯基也发现有黑客利用LemonDuck对用户计算机发动攻击。事实上,它首见于2019年5月,原本是采矿程序,也仅限感染中国,但随后几年持续演进,不论攻击的平台、感染区域、传染渠道都越来越高端。
早年LemonDuck主要攻击中国地区,但现在已扩散多国,包括美、英、俄、德、法、韩、加拿大及越南等地,锁定制造业及IoT业。
微软指出,它是今天少数被记录到能同时感染Windows和Linux的僵尸网络程序,在网络上扫描防护较弱的SMB、Exchange、SQL、Hadoop、REDIS、RDP服务器或其他边缘设备寻找潜在受害目标。它能利用网络钓鱼邮件、Eternal Blue SMB开采程序、USB设备、暴力破解等多种方式进入受害系统。它还能利用最新时事扩大攻击对象。去年利用COVID-19为例发动钓鱼信件,今年则利用Exchange Server新发现的漏洞,即ProxyLogon黑入未修补的计算机。
值得一提的是,LemonDuck并非只用新漏洞,还使用已知的旧漏洞,微软指出,这是因为厂商和用户往往把重点放在修补新漏洞,而忽略旧漏洞。此外,LemonDuck还会从受害设备上移除其他攻击者,开采完一个漏洞后,还会修补漏洞防止其他新感染。
LemonDuck使用的漏洞包括:CVE-2017-0144(EternalBlue)、CVE-2017-8464(LNK RCE)、CVE-2019-0708(BlueKeep)、CVE-2020-0796(SMBGhost)、CVE-2021-26855(ProxyLogon)、CVE-2021-26857(ProxyLogon)、CVE-2021-26858(ProxyLogon)和CVE-2021-27065(ProxyLogon)。
在进入受害者设备后的功能上,LemonDuck行为更复杂。除了原有的僵尸网络程序及挖矿外,LemonDuck现在也能窃取登录帐密、移除安全控制、利用传递散列(pass-the-hash)手法在企业网络内部横向移动,并在用户计算机上植入人为操作的工具。2021年LemonDuck使用的外部C&C(C2)基础架构也更多样,这使它在受害者计算机得以不断更新攻击武器。