提防柠檬鸭-可以暴力破解密码的加密矿工

2020年10月下旬，安全研究人员发布了有关Lemon Duck僵尸网络的警告。加密货币挖矿僵尸网络记录了一个重要的活动高峰，并使加密矿工bot再次变得相关。

Lemon Duck僵尸网络被描述为专注于加密挖掘的“更复杂”的僵尸网络之一。共识是，至少从2018年末开始就出现了这种情况，但是从2020年8月开始，指向Lemon Duck的命令和控制服务器的请求明显增加。活动的增加与主要集中于亚洲地区。

关于柠檬鸭活动迅速发展的新研究源于思科Talos，他早在2020年3月就注意到了不寻常的迹象。

柠檬鸭的感染媒介数量惊人-到目前为止已经发现了十二种。这些涵盖了多种方法，从远程桌面到利用Windows特定的漏洞，再到电子邮件中的恶意附件，再到密码的暴力破解，甚至利用Linux专用的调度平台。

柠檬鸭如何工作

Lemon Duck首先下载并执行PowerShell脚本，该脚本关闭Windows Defender的实时防护，然后从扫描列表中排除PowerShell进程。接下来，PowerShell脚本检查PowerShell进程是否以管理员权限运行。在这种情况下，有效负载将被下载并在系统上执行。

僵尸网络会扫描系统并检查制造商和已安装图形卡的特定型号。如果未检测到离散的GPU，则有效负载将下载单独的挖掘脚本，该脚本将在系统的CPU上运行。 Lemon Duck还包括仅用于该模块的惊人的10,000行代码，该模块负责传播僵尸网络。

僵尸网络的传播模块也具有电子邮件组件。这使用主题行主要与Covid-19或其他令人震惊的句子相关的电子邮件，目的是吓the用户打开包含恶意文件的附件。

Lemon Duck已被用于针对各种与Internet连接的设备的运动，例如智能电视，打印机，甚至是具有依赖Windows 7上运行的组件的自动驾驶系统的车辆。