Lemon Duck - Anther Se på den stædige kryptominer
Lemon Duck er en kryptomining malware, der har eksisteret i en kupé i år nu. Det blev først set af sikkerhedsforskere i sommeren 2019 for lidt over to år siden og er siden blevet brugt i flere fokuserede kampagner.
Forskere med Microsoft har frigivet en opdateret undersøgelse af Lemon Duck-cryptominer, der beskriver nogle nysgerrige tendenser i dens udvikling.
Lemon Duck kan krybe og overtage både Windows- og Linux-baserede netværk. Det har dog et par funktioner, der gør det lidt af et specielt tilfælde blandt andre crypto-malware.
Mens de fleste malware simpelthen gør sit bedste for at undgå afsløring, går Lemon Duck ud over det. Det lukker ikke bare anti-malware og sikkerhedssoftware på de kompromitterede systemer, det kan faktisk udrydde anden konkurrerende malware, endda anvende sårbarhedsrettelser for at sikre, at systemet forbliver rent fra anden konkurrerende malware.
Tricket med patch-sårbarheder sikrer ikke bare et ubestridt rum for Lemon Duck på netværket. Det har den yderligere virkning at forsinke menneskelig efterforskning, da en virksomhed eller et netværk måske først fokuserer sin opmærksomhed på enheder, der stadig mangler programrettelser.
Et eksempel på Lemon Duck, der springer op på gulvet i sine egne fodspor, er et angreb ved hjælp af malware på netværk, der kører Microsoft Exchange Server. Efter at have misbrugt bugs for at infiltrere netværket blev Lemon Duck brugt til senere at patchere de meget bugs, som det plejede at infiltrere i første omgang. For at afslutte det hele brugte trusselsaktørerne bag denne særlige kampagne Microsofts eget afbødningsværktøj til at lappe fejlene.
Derudover bruger File Duck fileless teknikker og direkte hukommelse og procesinjektioner, så detektering yderligere hæmmes.
Alt dette kombineret gør File Duck særlig vanskelig at spore og fjerne, når den først har fundet vej på et netværk. Når det kommer til serverplatforme, der har tilstrækkelig ressourceomkostning, bliver malwareens ressourceafløb muligvis ikke for mærkbar med det samme, og det kan fortsætte med at køre uhindret i længere perioder.
