Citromos kacsa - Anther Nézd meg a makacs Cryptominer-t
A Lemon Duck egy kriptoképes kártevő, amely már évek óta létezik egy kupé alatt. Először 2019 nyarán, alig több mint két évvel ezelőtt figyelték meg a biztonságkutatók, azóta több fókuszált kampányban használták fel.
A Microsoft kutatói frissített vizsgálatot tettek közzé a Lemon Duck kriptominerről, felvázolva néhány különös tendenciát a fejlődésében.
A Lemon Duck képes kúszni és átvenni mind a Windows, mind a Linux alapú hálózatokat. Van azonban néhány olyan tulajdonsága, amelyek egy kicsit különleges esetté teszik a többi kripto malware között.
Míg a legtöbb kártevő egyszerűen mindent megtesz az észlelés elkerülése érdekében, a Lemon Duck túlmutat rajta. Nem egyszerűen leállítja a rosszindulatú programokat és a biztonsági szoftvereket a veszélyeztetett rendszereken, hanem más versenyképes rosszindulatú programokat is kivédhet, sőt sebezhetőségi javításokat is alkalmazhat annak biztosítására, hogy a rendszer tisztán maradjon a többi, versengő kártevőtől.
A sebezhetőség javításával végzett trükk nem csupán egy vitathatatlan helyet biztosít a Lemon Duck számára a hálózaton. További hatása az emberi nyomozás késleltetése, mivel egy vállalat vagy hálózat először figyelmét olyan eszközökre összpontosíthatja, amelyekről még mindig hiányoznak a javítások.
Az egyik példa arra, hogy a Lemon Duck felpörgeti saját lépteit, a Microsoft Exchange Server-t futtató hálózatok kártékony programjaival történő támadás. A hálózattal való behatolással kapcsolatos hibákkal való visszaélés után a Lemon Duck-ot később azoknak a hibáknak a foltozására használták fel, amelyekkel először beszivárgott. Mindennek tetejébe a kampány mögött álló fenyegetési szereplők a Microsoft saját mérséklő eszközével javították a hibákat.
Ezenkívül a File Duck fájlnélküli technikákat, valamint közvetlen memória- és folyamatinjekciókat használ, így a felismerés tovább akadályozható.
Mindez együttesen a File Duck-ot különösen bonyolulttá teszi a felkutatásra és az eltávolításra, ha már megtalálta az útját egy hálózaton. Ha olyan szerverplatformokról van szó, amelyek elegendő erőforrással rendelkeznek, akkor a rosszindulatú programok erőforrás-lemerülése nem feltétlenül válik azonnal észrevehetővé, és hosszú ideig akadálytalanul működhet.