安全企业Sophos在上周警告,厉害的挖矿程序Lemon_Duck日益精进,现在不仅可感染Windows平台,也把目标转移到Linux平台与云计算应用。
去年现身的Lemon_Duck主要用来感染企业网络,以于企业内部系统上植入门罗币(Monero)挖矿程序,根据趋势科技的分析,它使用多重的无文件手法,利用多个恶意的PowerShell脚本程序下载酬载,且只于内存中执行,最后一个PowerShell脚本程序则描述了所有的恶意程序,包括使用EternalBlue攻击程序来攻陷SMB(Server Message Block),暴力破解系统,执行散列传递(Pass The Hash)攻击,以及下载各种酬载等。
Sophos则将它称为坊间最先进的挖矿程序之一,因为Lemon_Duck作者持续更新它的程序代码,让它的社交程序攻击跟上时事,也会改善它躲避侦测的能力,最新的Lemon_Duck已不只瞄准Windows平台,还把目标转向了Linux平台,以及Redis数据库与Hadoop集群。
Lemon_Duck最危险的功能之一应该是它的传播能力,新版Lemon_Duck以新冠肺炎(COVID-19)为主旨的邮件来诱导用户点击附加文件,在成功感染系统之后,它会根据受害者的Outlook通讯录,自行发送恶意邮件给受害者所有的联系人,让受害计算机成为Lemon_Duck的超级传播者。
此外,新版Lemon_Duck已可感染那些执行Linux的系统,通过内置的传输端口扫描模块来搜索以SSH协议登录的Linux系统传输端口,一旦找到目标对象便执行SSH暴力破解攻击。
Lemon_Duck也会扫描网络上是否有因配置失误而曝光的Redis分布式数据库,或是不需身份认证的Hadoop集群,以在这些系统上植入挖矿软件。
Sophos在GitHub上公布可用来识别是否受到Lemon_Duck入侵的指标供外界参考。