提防柠檬鸭-可以暴力破解密码的加密矿工
2020年10月下旬,安全研究人员发布了有关Lemon Duck僵尸网络的警告。加密货币挖矿僵尸网络记录了一个重要的活动高峰,并使加密矿工bot再次变得相关。
Lemon Duck僵尸网络被描述为专注于加密挖掘的“更复杂”的僵尸网络之一。共识是,至少从2018年末开始就出现了这种情况,但是从2020年8月开始,指向Lemon Duck的命令和控制服务器的请求明显增加。活动的增加与主要集中于亚洲地区。
关于柠檬鸭活动迅速发展的新研究源于思科Talos,他早在2020年3月就注意到了不寻常的迹象。
柠檬鸭的感染媒介数量惊人-到目前为止已经发现了十二种。这些涵盖了多种方法,从远程桌面到利用Windows特定的漏洞,再到电子邮件中的恶意附件,再到密码的暴力破解,甚至利用Linux专用的调度平台。
柠檬鸭如何工作
Lemon Duck首先下载并执行PowerShell脚本,该脚本关闭Windows Defender的实时防护,然后从扫描列表中排除PowerShell进程。接下来,PowerShell脚本检查PowerShell进程是否以管理员权限运行。在这种情况下,有效负载将被下载并在系统上执行。
僵尸网络会扫描系统并检查制造商和已安装图形卡的特定型号。如果未检测到离散的GPU,则有效负载将下载单独的挖掘脚本,该脚本将在系统的CPU上运行。 Lemon Duck还包括仅用于该模块的惊人的10,000行代码,该模块负责传播僵尸网络。
僵尸网络的传播模块也具有电子邮件组件。这使用主题行主要与Covid-19或其他令人震惊的句子相关的电子邮件,目的是吓the用户打开包含恶意文件的附件。
Lemon Duck已被用于针对各种与Internet连接的设备的运动,例如智能电视,打印机,甚至是具有依赖Windows 7上运行的组件的自动驾驶系统的车辆。