آزمایشگاه های SophosLabs روند قابل توجهی در حملات استخراج ارز رمزنگاری شده را که به سرعت در شبکه های سازمانی در حال گسترش است ، کنترل می کند. بنابر این انتخاب هدف برای ماین کردن پنهانی برای هدایت مقادیر زیادی از منابع CPU سازمان به ابزارهای استخراج ارزهای رمزپایه نیاز است.
تهدیدهای موجود در پشت این کمپین ها از بسیاری از فناوری های پیشرفته مانند اجرای اسکریپت های زاید ، استفاده از ابزارهای امنیتی منبع باز برای اهداف مخرب و سو explo استفاده از آسیب پذیری ها برای گسترش سریع به سایر دستگاه های شبکه استفاده می کند.
این آخرین تهدید بهره برداری از Eternablue برای تکثیر در سایر ماشین های شبکه است. برخی از اسکریپت های مخرب از عبارت “$ Lemon_Duck” به عنوان یک متغیر استفاده می کنند. به همین دلیل است که ما (و بسیاری از شرکت های دیگر در مورد این تهدید در وبلاگ خود نوشته اند) این مهاجمان را “Lemon_Duck PowerShell Campaign” نامیدیم.
در این پست ، ما به این کارزار که توسط مهاجمان انجام شده است نگاه خواهیم کرد (افرادی که به طور مداوم و به طور منظم اسکریپت های حمله خود را با تکنیک های جدید هجومی ارتقا می دهند). بیشتر ماژول های حمله مورد استفاده در این اسکریپت از منابع منبع باز گرفته شده است. اسکریپت های مخرب با استفاده از کارهای برنامه ریزی شده همچنان در دستگاه های ویندوز کار می کنند.
هدفی را برای استخراج مخفی انتخاب کنید
این کمپین به طور تصادفی چندین آدرس IP برای هدف قرار دادن سرویس ها به یک شماره درگاه خاص مانند ۴۴۵ / TCP (SM) ، ۱۴۳۳ / TCP (MS-SQL Server) یا ۶۵۵۲۹ / TCP (پورت مورد) ایجاد می کند. استفاده از دستگاه قطع شده قبلی ، پورت ها را اسکن می کند) از همان تهدید.
اسکریپت به محض اینکه پاسخی از یک ماشین از راه دور دریافت می کند ، آدرس IP را برای آسیب پذیری Eternallue SM اسکن می کند و یا حمله بی رحمانه ای را علیه سرویس MS-SQL انجام می دهد تا دستگاه را مختل کند. ماشین های دارای پورت استراق سمع باز ۶۵۵۲۹ / TCP قبلاً این تهدید یا تهدیدهای دیگری را که از همان اسکریپت استفاده می کنند به خطر انداخته اند.
زنجیره مرگ Lemon_Duck
اسکریپت مخرب را با استفاده از Windows Scheduled Tasks بارگیری کرده و کپی جدیدی از اسکریپت مخرب را در فاصله یک ساعت اجرا کنید. اسکریپت بارگیری شده اولیه با استفاده از یک هش رمزگذاری شده قبل از اجرا اعتبار خود را تأیید می کند. اگر این اعتبارسنجی موفقیت آمیز باشد ، اسکریپت بارهای ویروس دیگر را بارگیری می کند ، از جمله ماژول های Minor Quinn و Exploit.
انتشار خطرات و گسترش عرضی
اسکریپت سعی دارد خود را بصورت عرضی گسترش دهد و از دستگاه آلوده به عنوان یک نقطه ورود امن برای بقیه شبکه استفاده کند. در نتیجه ، از چندین روش برای این کار استفاده می کند ، مانند موارد زیر:
• Eternablue: وقفه در اثر سو SM استفاده از SM
US و درایوهای شبکه: اسکریپت ها ، میانبرها با پسوند lnk و پرونده های DLL مخرب را به دستگاه های متصل به دستگاه های آلوده و درایوهای شبکه نقشه برداری شده می نویسد (CVE-2017-8464).
پرونده های راه اندازی: اسکریپت برای اجرای در هنگام راه اندازی مجدد ، پرونده ها را در مکان شروع در سیستم فایل ویندوز (مانند پوشه راه اندازی منوی راه اندازی) می نویسد.
rute Force Attack on MS-SQL Server: اسکریپت رمزهای مختلفی را امتحان می کند که می تواند توسط حساب SQL Server Super Admin استفاده شود.
Pass Hash: از هش NTLM جدول نشان داده شده در بالا استفاده می کند.
• با استفاده از WMI ، دستورات مخرب را در ماشین های از راه دور اجرا کنید
• حمله نیروی بی رحم RDP