柠檬鸭 - 花药看顽固的加密矿工
Lemon Duck 是一种加密挖掘恶意软件,现已存在多年。两年多前,安全研究人员于 2019 年夏天首次发现它,此后已被用于多个重点活动。
微软的研究人员发布了对 Lemon Duck 加密矿工的最新测试,概述了其发展中的一些奇怪趋势。
Lemon Duck 可以蔓延并接管基于 Windows 和 Linux 的网络。但是,它具有一些功能,使其成为其他加密恶意软件中的一个特例。
虽然大多数恶意软件只是尽最大努力避免检测,但 Lemon Duck 却超越了它。它不只是关闭受感染系统上的反恶意软件和安全软件,它实际上可以根除其他竞争恶意软件,甚至应用漏洞补丁以确保系统免受其他竞争恶意软件的侵害。
修补漏洞的技巧并不能简单地确保 Lemon Duck 在网络上有一个无可争议的空间。它具有延迟人工调查的额外效果,因为公司或网络可能首先将注意力集中在仍然缺乏补丁的设备上。
Lemon Duck 扫地的一个例子是在运行 Microsoft Exchange Server 的网络上使用恶意软件进行的攻击。在滥用漏洞渗入网络后,Lemon Duck 后来被用来修补它最初用来渗透的漏洞。最重要的是,这次特定活动背后的威胁参与者使用微软自己的缓解工具来修补漏洞。
此外,File Duck 使用无文件技术以及直接内存和进程注入,因此进一步阻碍了检测。
所有这些结合在一起使得 File Duck 一旦在网络上找到了它的方式,就特别难以追踪和删除。当涉及到具有足够资源开销的服务器平台时,恶意软件的资源消耗可能不会立即变得太明显,并且可以在很长一段时间内不受阻碍地运行。