LemonDuck kötü amaçlı yazılımı, bir kripto para madenciliği botnet’inden, “kimlik bilgilerini çalma”, “güvenlik önlemlerini devre dışı bırakma” ve “çeşitli yöntemlerle yayılma” yeteneğine sahip “çok yönlü bir kötü amaçlı yazılıma” dönüştü.
Ağlara erişim sağlamak için “kaba kuvvet saldırıları” ve “EternalBlue” gibi “bilinen güvenlik açıklarından yararlanma” gibi teknikleri kullanarak hem “Windows” hem de “Linux” sistemlerini hedefler.
Aufa ve NetbyteSEC Stajyerleri (Irham, Idham, Adnin, Nabiha, Haiqal, Amirul) yakın zamanda LemonDuck kötü amaçlı yazılımının Windows sunucularına saldırmak için SMB güvenlik açıklarından aktif olarak yararlandığını keşfetti.
KOBİ’lerin Açıklarından Yararlanan LemonDuck Kötü Amaçlı Yazılımı
LemonDuck kötü amaçlı yazılımının, Microsoft’un Sunucu İleti Bloğu (SMB) protokolündeki güvenlik açıklarından, özellikle de “EternalBlue” (‘CVE-2017-0144’) güvenlik açığından yararlandığı tespit edildi.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Kötü amaçlı yazılım, saldırısını Tayvan’daki “211.22.131.99” IP adresini kullanarak “KOBİ hizmetlerine” yönelik kaba kuvvet girişimleri yoluyla başlatıyor.
Erişim elde edildikten sonra gizli yönetim paylaşımları oluşturur ve toplu iş dosyaları ve PowerShell komut dosyaları aracılığıyla bir dizi kötü amaçlı eylem gerçekleştirir.
.webp)
Bunlar arasında ‘yürütülebilir dosyaların oluşturulması ve yeniden adlandırılması’ (“msInstall.exe” – “FdQn.exe”), ‘güvenlik duvarı ayarlarının değiştirilmesi’ ve ‘bağlantı noktasının “53” üzerinde “1.1.1.1”e iletilmesinin kurulması yer alır.
NetbyteSEC raporuna göre LemonDuck, uzak URL’lerden kötü amaçlı yükleri çalıştırarak düzenli aralıklarla çalışan “zamanlanmış görevler” (‘NFUBffk,’ ‘Otomatik Kontrol,’ ‘Otomatik Yükleme’) kurarak kalıcılığı sağlıyor.
“Komut istemi örneklerini izleme” ve “sistemi yeniden başlatmaya zorlama” gibi algılama önleme mekanizmalarını kullanır.
Kötü amaçlı yazılım, Windows Defender’ı devre dışı bırakır, “C:” sürücüsü ve “PowerShell işlemi” için istisnalar oluşturur ve faaliyetlerini gizlemek için base64 kodlamasını kullanır.
Dikkate değer bileşenler arasında, enfeksiyonu koruyan “svchost.exe” (“yasal sistem hizmeti” olarak gizlenmiş) ve “çeşitli zamanlanmış görevler” yer alıyor.
.webp)
Saldırı, LemonDuck’un “kripto madenciliği” ve “sistem güvenliğinin aşılmasına” yönelik kapsamlı yaklaşımını gösteren kanıtları ortadan kaldırmak için temizleme prosedürleriyle sona eriyor.
Kötü amaçlı yazılım, “C:\Windows\Temp” dizinine yerleştirilen “svchost.exe” kılığına giriyor ve sinyal vermek için bir dosya (“ipc.txt”) kullanıyor.
Windows Defender’ı devre dışı bırakır, dışlama listelerine “C:\” ekler ve “C2 iletişimi” için “TCP bağlantı noktası 65529″u açar. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için kendisini yeniden adlandırır (‘HbxhVCnn.exe’) ve kalıcılık için zamanlanmış görevler ayarlar.
Yanal hareket için SMB hizmetlerindeki “EternalBlue güvenlik açığından” (‘CVE-2017-0144’) yararlanıyor.
.webp)
Sadece bu da değil, “http://t” gibi URL’lerden ek komut dosyaları indirmek için PowerShell’den bile yararlanıyor.[.]aminks[.]com/gim[.]jsp ve kimlik bilgileri hırsızlığı için Mimikatz’ı kullanıyor.
Saldırı, sistem hizmetlerini manipüle ediyor, güvenlik duvarı kurallarını değiştiriyor ve gizliliği korumak ve tekrarlanan yürütmeyi sağlamak için birden fazla teknik kullanıyor.
Temel bileşenler, “kaba kuvvet saldırıları”, “ayrıcalığın SİSTEM düzeyine yükseltilmesi” ve sistemin daha fazla tehlikeye atılması için “kötü amaçlı toplu dosyaların oluşturulması (‘p.bat’)” sunar.
Kötü amaçlı yazılımın eylemleri ‘ağ manipülasyonu’, ‘dosya işlemleri’ ve ‘zamanlanmış görev oluşturma’yı kapsıyor; bu, “sisteme sızma ve kontrol” konusunda karmaşık bir yaklaşımı gösteriyor.
IoC’ler
Doğramak
- msInstall.exe (MD5:3ca77a9dfa6188ed9418d03df61fea7a)
İhtisas
- t.amynx.com (URL: http://t.amynx.com/gim.jsp)
- w.zz3r0.com (URL: http://w.zz3r0.com/page.html?pSVR-ESCWEBAPP)
IP Adresi
- 211.22.131.99 (Taichung, Tayvan)
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar