El malware LemonDuck ha evolucionado de una botnet de minería de criptomonedas a un “malware versátil” capaz de “robar credenciales”, “deshabilitar medidas de seguridad” y “propagarse de diversas formas”.
Se dirige a sistemas Windows y Linux obteniendo acceso a redes utilizando técnicas como ataques de fuerza bruta y explotación de vulnerabilidades conocidas como EternalBlue.
Los pasantes de Aufa y NetbyteSEC (Irham, Idham, Adnin, Nabiha, Haiqal y Amirul) descubrieron recientemente que el malware LemonDuck está explotando activamente las vulnerabilidades de SMB para atacar servidores de Windows.
El malware LemonDuck explota la vulnerabilidad de las PYMES
Se descubrió que el malware LemonDuck explota vulnerabilidades en el protocolo Server Message Block (SMB) de Microsoft, específicamente la vulnerabilidad 'EternalBlue' ('CVE-2017-0144').
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
El malware utiliza la dirección IP taiwanesa 211.22.131.99 para lanzar un ataque de fuerza bruta contra el servicio SMB.
Una vez que obtiene acceso, crea recursos compartidos administrativos ocultos y realiza una serie de acciones maliciosas mediante archivos por lotes y scripts de PowerShell.
Gráfico de flujo de ataque (Fuente – NetbyteSEC)
Para esto, “Crear y cambiar archivos ejecutables de cambio de nombre” (de “Msinstall.exe” a “FDQN.EXE”), “Operación de configuración del firewall” y “Puerto 53” a “1.1.1.1”.
Según el informe de NetbyteSEC, LemonDuck se puede explotar configurando “tareas programadas” (“NFUBffk”, “Autocheck”, “Autoload”) que se ejecutan periódicamente mediante la ejecución de cargas útiles maliciosas desde URL remotas. Garantizamos la permanencia.
Se emplean mecanismos antidetección, como “monitoreo de instancias de símbolo del sistema” y “reinicio forzado del sistema”.
El malware desactiva Windows Defender, crea exclusiones para la unidad 'C:' y los 'procesos PowerShell' y utiliza codificación base64 para ofuscar sus actividades.
Los componentes notables incluyen “svchost.exe'' (que se hace pasar por un “servicio legítimo del sistema'') y “varias tareas programadas'' que mantienen la infección.
Comando de una sola línea ejecutado que contiene una serie de actividades maliciosas (Fuente: NetbyteSEC)
El ataque concluye con un paso de limpieza que elimina la evidencia del enfoque integral de LemonDuck hacia la “criptominería” y el “compromiso del sistema”.
El malware se disfraza como 'svchost.exe', se encuentra en 'C:\Windows\Temp' y utiliza un archivo ('ipc.txt') para la señalización.
Deshabilite Windows Defender, agregue “C:\” a la lista de exclusión y abra el “puerto TCP 65529” para la “comunicación C2”. El malware se renombra a sí mismo ('HbxhVCnn.exe') para evitar la detección y configura una tarea programada para persistir.
Explota la vulnerabilidad EternalBlue (CVE-2017-0144) en servicios SMB para movimiento lateral.
Ejecución de código Mimikatz (Fuente – NetbyteSEC)
No solo eso, Mimikatz también se utiliza para el robo de credenciales al aprovechar PowerShell para descargar scripts adicionales desde URL como “http://t(.)amynx(.)com/gim(.)jsp”.
Este ataque manipula los servicios del sistema, modifica las reglas del firewall y utiliza múltiples técnicas para mantener el sigilo y repetir la ejecución.
Los componentes principales proporcionan “ataques de fuerza bruta”, “escalada de privilegios al nivel del SISTEMA” y “creación de archivos por lotes maliciosos ('p.bat')” para comprometer aún más el sistema.
El comportamiento del malware abarca operaciones de red, operaciones de archivos y creación de tareas programadas, lo que indica un enfoque complejo para la infiltración y el control del sistema.
COI
picadillo
msInstall.exe (MD5: 3ca77a9dfa6188ed9418d03df61fea7a)
dominio
t.amynx.com (URL: http://t.amynx.com/gim.jsp) w.zz3r0.com (URL: http://w.zz3r0.com/page.html?pSVR-ESCWEBAPP)
dirección IP
211.22.131.99 (Taichung, Taiwán)
Estrategias para proteger su sitio web y API de ataques de malware => Webinar gratuito
LemonDuck Malware Exploiting SMB Vulnerabilities To Attack Windows Servers
