檸檬鴨 - 花藥看頑固的加密礦工
Lemon Duck 是一種加密挖掘惡意軟件,現已存在多年。兩年多前,安全研究人員於 2019 年夏天首次發現它,此後已在多個重點活動中使用。
微軟的研究人員發布了對 Lemon Duck 加密礦工的最新測試,概述了其發展中的一些奇怪趨勢。
Lemon Duck 可以蔓延並接管基於 Windows 和 Linux 的網絡。但是,它具有一些功能,使其成為其他加密惡意軟件中的一個特例。
雖然大多數惡意軟件只是盡最大努力避免檢測,但 Lemon Duck 卻超越了它。它不只是關閉受感染系統上的反惡意軟件和安全軟件,它實際上可以根除其他競爭惡意軟件,甚至應用漏洞補丁來確保系統與其他競爭惡意軟件保持乾淨。
修補漏洞的技巧並不能簡單地確保 Lemon Duck 在網絡上有一個無可爭議的空間。它具有延遲人工調查的額外效果,因為公司或網絡可能首先將注意力集中在仍然缺乏補丁的設備上。
Lemon Duck 掃地的一個例子是在運行 Microsoft Exchange Server 的網絡上使用惡意軟件進行的攻擊。在濫用漏洞滲入網絡後,Lemon Duck 後來被用來修補它最初用來滲透的漏洞。最重要的是,這次特定活動背後的威脅參與者使用微軟自己的緩解工具來修補漏洞。
此外,File Duck 使用無文件技術以及直接內存和進程注入,因此進一步阻礙了檢測。
所有這些結合在一起使得 File Duck 一旦在網絡上找到了它的方式,就特別難以追踪和刪除。當涉及到具有足夠資源開銷的服務器平台時,惡意軟件的資源消耗可能不會立即變得太明顯,並且可以在很長一段時間內不受阻礙地運行。