提防檸檬鴨-可以暴力破解密碼的加密礦工
2020年10月下旬,安全研究人員發布了有關Lemon Duck殭屍網絡的警告。加密貨幣挖礦殭屍網絡記錄了一個重要的活動高峰,並使加密礦工bot再次變得相關。
Lemon Duck殭屍網絡被描述為專注於加密挖掘的“更複雜”的殭屍網絡之一。共識是,至少從2018年末開始就出現了這種情況,但是從2020年8月開始,指向Lemon Duck的命令和控制服務器的請求明顯增加。活動的增加與主要集中在亞洲地區。
關於檸檬鴨活動迅速發展的新研究源於思科Talos,他早在2020年3月就注意到了不尋常的跡象。
檸檬鴨的感染媒介數量驚人-到目前為止已經發現了十二種。這些涵蓋了多種方法,從遠程桌面到利用Windows特定的漏洞,再到電子郵件中的惡意附件,再到密碼的暴力破解,甚至利用Linux專用的調度平台。
檸檬鴨如何工作
Lemon Duck首先下載並執行PowerShell腳本,該腳本關閉Windows Defender的實時防護,然後從掃描列表中排除PowerShell進程。接下來,PowerShell腳本檢查PowerShell進程是否以管理員權限運行。在這種情況下,有效負載將被下載並在系統上執行。
殭屍網絡會掃描系統並檢查製造商和已安裝圖形卡的特定型號。如果未檢測到離散的GPU,則有效負載將下載單獨的挖掘腳本,該腳本將在系統的CPU上運行。 Lemon Duck還包括僅用於該模塊的驚人的10,000行代碼,該模塊負責傳播殭屍網絡。
殭屍網絡的傳播模塊也具有電子郵件組件。這使用主題行主要與Covid-19或其他令人震驚的句子相關的電子郵件,目的是嚇user用戶打開包含惡意文件的附件。
Lemon Duck已被用於針對各種與Internet連接的設備的運動,例如智能電視,打印機,甚至是具有依賴Windows 7上運行的組件的自動駕駛系統的車輛。