Lemon_Duck؛ مجهزتر از قبل
نمونههای اخیر بدافزار مخرب Lemon_Duck مجهز به قابلیتهای پیشرفتهای جهت آلودهسازی دستگاههای با سیستم عامل Linux و هک سرویسدهندگان Redis و Hadoop شدهاند. همچنین نقاط آسیبپذیر جدیدی نیز به فهرست ضعفهای امنیتی مورد سوءاستفاده این بدافزار برای تسخیر سیستمهای Windows افزوده شده است.
در یک سال گذشته شرکت مهندسی شبکه گستر گزارشهای متعددی از حمله این بدافزار به سازمانهای ایرانی دریافت کرده است.
Lemon_Duck در دسته بدافزارهای موسوم به رمز ربا (Cryptojacking) قرار میگیرد.
در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلیترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازشها انجام میشود به استخراجکنندگان پاداشی اختصاص میدهد. از همین رو، برخی افراد نیز با بکارگیری برنامههای استخراجکننده (Miner) تلاش میکنند تا در ازای استخراج ارز رمز، مشمول پاداش شبکه ارز رمز شوند. اما با توجه به نیاز به توان پردازش بالا، انجام استخراج میتواند یک سرمایهگذاری هزینهبر برای استخراجکننده باشد. به همین خاطر در حملات موسوم به رمز ربایی (Cryptojacking)، استخراجکننده بدخواه با آلوده کردن دستگاه دیگران به بدافزارهای ویژه استخراج، از توان پردازشی آنها به نفع خود بهرهگیری میکند. در حقیقت در رمز ربایی، این مهاجمان هستند که همه منافع حاصل از استخراج را بدون هر گونه سرمایهگذاری کسب میکنند؛ در حالی که دستگاه قربانی انجامدهنده امور اصلی بوده است.
بهمحض آلوده شدن دستگاه به Lemon_Duck، یک استخراجکننده ارز رمز مونرو بر روی دستگاه اجرا میشود.
Lemon_Duck، فهرستی از نشانیهای IP را بهصورت تصادفی ایجاد کرده و پس از مورد هدف قرار دادن آنها، قابل دسترس بودن درگاههای زیر بر روی آنها را بررسی میکند:
- TCP/445 – درگاه پیشفرض SMB
- TCP/1433 – درگاه پیشفرض MS-SQL
- TCP/65529 – درگاهی که توسط Lemon_Duck بر روی دستگاههای آلوده شده به این بدافزار باز میشود.
به گزارش شرکت مهندسی شبکه گستر، در صورت باز بودن درگاه ۴۴۵، بدافزار از طریقPingCastle آسیبپذیر بودن دستگاه هدف به بهرهجوی EternalBlue (ضعف امنیتی CVE-2017-0144) را مورد بررسی قرار می دهد. ماجرای EternalBlue به حدود 3 سال قبل و انتشار اسناد محرمانهای باز میگردد که در جریان آن فایلهای سرقت شده از یک گروه نفوذگر حرفهای با نام Equation که وابستگی اثبات شدهای به “سازمان امنیت ملی” دولت آمریکا (NSA) دارد توسط گروه Shadow Brokers بر روی اینترنت به اشتراک گذاشته شدند. در بین این فایلها، بهرهجوهایی به چشم میخوردند که از یک ضعف امنیتی روز-صفر در بخش سیستم عامل Windows که به EternalBlue موسوم شد سوءاستفاده میکردند. یک ماه پیش از درز این اطلاعات شرکت مایکروسافت اقدام به عرضه اصلاحیهای با شناسه MS17-010 بهمنظور ترمیم آسیبپذیری مذکور نموده بود. باجافزارWannaCry از جمله بدافزارهایی بوده است که با بهرهجویی از آسیبپذیری مذکور در مدتی کوتاه صدها هزار دستگاه را در سرتاسر جهان به خود آلوده کرد. با این حال تداوم بهرهجویی مهاجمان از این آسیبپذیری نشانهای از عدم توجه بسیاری از کاربران و راهبران شبکه نسبت به لزوم نصب اصلاحیههای امنیتی است.
چنانچه درگاه ۱۴۳۳ بر روی دستگاه هدف باز باشد بدافزار اقدام به اجرای حملات موسوم به سعیوخطا (Brute-force) جهت رخنه به سرویسدهنده MS-SQL نصب شده بر روی دستگاه میکند. برای این منظور Lemon_Duck با بکارگیری فهرستی از رمزهای عبور و همچنین مجموعهای از درهمساز (Hash) و NTLM تلاش میکند تا حساب کاربری sa در سرویس Microsoft SQL را هک کند. فهرست این رمزهای عبور بهشرح زیر است:
“saadmin”, “123456”, “password”, “PASSWORD”, “123.com”, “admin@123”, “Aa123456”, “qwer12345”, “Huawei@123”, “123@abc”, “golden”, “123!@#qwe”, “1qaz@WSX”, “Ab123”, “1qaz!QAZ”, “Admin123”, “Administrator”, “Abc123”, “Admin@123”, “999999”, “Passw0rd”, “123qwe!@#”, “football”, “welcome”, “1”, “12”, “21”, “123”, “321”, “1234”, “12345”, “123123”, “123321”, “111111”, “654321”, “666666”, “121212”, “000000”, “222222”, “888888”, “1111”, “555555”, “1234567”, “12345678”, “123456789”, “987654321”, “admin”, “abc123”, “abcd1234”, “abcd@1234”, “abc@123”, “p@ssword”, “P@ssword”, “p@ssw0rd”, “P@ssw0rd”, “P@SSWORD”, “P@SSW0RD”, “P@w0rd”, “P@word”, “iloveyou”, “monkey”, “login”, “passw0rd”, “master”, “hello”, “qazwsx”, “password1”, “qwerty”, “baseball”, “qwertyuiop”, “superman”, “1qaz2wsx”, “f—ckyou”, “123qwe”, “zxcvbn”, “pass”, “aaaaaa”, “love”, “administrator”, “qwe1234A”, “qwe1234a”, “123123123”, “1234567890”, “88888888”, “111111111”, “112233”, “a123456”, “123456a”, “5201314”, “1q2w3e4r”, “qwe123”, “a123456789”, “123456789a”, “dragon”, “sunshine”, “princess”, “!@#$%^&*”, “charlie”, “aa123456”, “homelesspa”, “1q2w3e4r5t”, “sa”, “sasa”, “sa123”, “sql2005”, “sa2008”, ”abc”, “abcdefg”, “sapassword”, “Aa12345678”, “ABCabc123”, “sqlpassword”, “sql2008”, “11223344”, “admin888”, “qwe1234”, “A123456”
بهمحض موفقیت در هک حساب کاربری مذکور، بدافزار با استفاده از پروسه sqlserver.exe فرامین مخرب را بر ضد ماشینهای دیگر اجرا میکند.
همچنین Lemon_Duck با بهرهجویی از آسیبپذیری CVE-2017-8464 فایلهای میانبر (LNK) و DLL مخرب را بر روی حافظههای جداشدنی (Removable Storage) متصل به دستگاه آلوده و در درایوهای اشتراکی موسوم به Map کپی میکند. باز کردن درایو منجر به اجرای فایل DLL مخرب و آلوده شدن دستگاه میشود. اصلاحیه CVE-2017-8464 از خرداد 1396 توسط شرکت مایکروسافت در دسترس قرار گرفته است.
در برخی نسخ این بدافزار، Lemon_Duck بر روی سیستم آلوده سطح دسترسی کاربر جاری را مورد بررسی قرار داده و چنانچه کاربر دارای دسترسی administrator باشد، ماژول PowerDump و ابزار Mimikatz را برای رونوشت برداشتن از درهمسازهای NTLM، نام کاربری، رمز عبور و اطلاعات دامنه (Domain) اجرا میکند. در ادامه، Lemon_Duck با مجوز این اطلاعات اصالتسنجی، فایلهای مخرب را در کنار فایلBatch یا LNK مرتبط با آنها در پوشه %Startup% ماشینهای قابل دسترس در بستر شبکه کپی کرده یا PowerShell را بهصورت از راه دور با استفاده از WMI اجرا میکند. با استفاده از سازوکار فرامین زمانبندیشده (Scheduled Task) در Windows، نسخ جدید اسکریپتهای مخرب بدافزار در بازههای زمانی حدوداً یک ساعته دریافت و اجرا میشوند. اسکریپت دانلود شده خود را با یک درهمسازی که در کد آن درج شده پیش از اجرا اعتبارسنجی میکند. در صورت موفق بودن، اسکریپت اقدام به دریافت کد مخرب دیگری که وظیفه آن استخراج ارز رمز مونرو بر روی دستگاه قربانی است میکند. عناوین این فرامین به شرح زیر است:
- \Microsot\Windows\Bluetool
- \Microsot\Windows\Bluetooths
- Autocheck
- Autostart
- Escan
- Ddriver
نام و مسیر نمونههایی از فایلهای مخرب ایجاد شده توسط Lemon_Duck در زیر فهرست شده است:
- C:\windows\temp\tmp.vbs
- C:\windows\temp\p.bat
- C:\Windows\mkatz.ini
- C:\Windows\Temp\mkatz.ini
- C:\Windows\m.ps1
- C:\Windows\Temp\m.ps1
- C:\Windows\m2.ps1C:\Windows\Temp\m2.ps1
- C:\Windows\Temp\svhhost.exe
- C:\Windows\Temp\svvhost.exe
- C:\Windows\Temp\svchost.exe
- C:\Windows\Temp\ipc.txt
- C:\Windows\Temp\hash.txt
- C:\Windows\Temp\eb.txt
- C:\Windows\system32\svhost.exe
- C:\Windows\SysWOW64\svhost.exe
- C:\Windows\system32\drivers\svhost.exe
- C:\Windows\SysWOW64\drivers\svhost.exe
همچنین Lemon_Duck با پویش سرورهای قابل دسترس که درگاه پیشفرض Remote Desktop Protocol – به اختصار RDP – (TCP/3389) بر روی آنها باز است میکوشد تا با نام کاربری administrator و امتحان کردن فهرستی از رمزهای عبوری که در کد بدافزار تزریق شده از طریق ابزار کد باز FreeRDP بر روی این پودمان به دستگاه مقصد وارد شود. در صورت موفقیت در ورود، فرمان مخرب بر روی دستگاه اجرا می شود.
در مواردی پس از آلوده شدن دستگاه، بدافزار یک حساب کاربری جدید با نام k8h3d و رمز عبور k8d3j9SjfS7 ایجاد میشود. در مواقعی نیز رمز عبور sa توسط Lemon_Duck به sEqgIBKy تغییر میکند.
چنانچه ماشین با هر یک از روشهای مورد اشاره در بالا آلوده شد، بدافزار تنظیمات دیواره آتش را تغییر داده و درگاه TCP/65529 را بر روی آن باز میکند. Lemon_Duck از آن به عنوان علامتی از آلوده بودن دستگاه استفاده میکند.
بهتازگی نیز Lemon_Duck مجهز به ماژول پویش درگاه TCP/22 برای شناسایی سیستمهای Linux قابل دسترس که از طریق درگاه مذکور امکان ثبت ورود (Login) از راه دور در بستر پودمان SSH به آنها وجود دارد شده است. پس از شناسایی دستگاه با درگاه TCP/22 باز، بدافزار اقدام به اجرای حملات سعیوخطا با نام کاربری root و رمزهای عبور اشاره شده در بالا میکند. در صورت موفقیت به رخنه به سیستم، یک Shell Code مخرب دریافت و اجرا میشود. بدافزار با ایجاد یک Cron Job از ماندگار ماندن خود بر روی دستگاه اطمینان حاصل میکند. در ادامه Lemon_Duck به جستجوی سایر دستگاههای Linux قابل دسترس پرداخته و تلاش میکند تا با اطلاعات اصالتسنجی ثبت شده در فایل ssh/known_hosts./ به آن سیستمها نیز رخنه کند.
در ماههای اخیر مهاجمان Lemon_Duck با تکنیکهای مهندسی اجتماعی و موضوعاتی مرتبط با کووید-19، اقدام به ارسال هرزنامههایی با پیوست فایل DOC کردهاند. با اجرای فایل توسط قربانی، بهرهجوی آسیبپذیری CVE-2017-8570 اجرا شده و دستگاه به Lemon_Duck آلوده میشود. آسیبپذیری مذکور امکان اجرای کد بهصورت از راه دور را فراهم میکند. مایکروسافت اصلاحیه CVE-2017-8570 را در تیر 1396 عرضه کرد و در صورت نصب بودن این اصلاحیه دستگاه در برابر این روش انتشار ایمن خواهد بود.
همچنین نسخ جدید Lemon_Duck مجهز به بهرهجوی آسیبپذیری CVE-2020-0796 (معروف به SMBGhost) شده است. اگر چه بهنظر میرسد که استفاده از این بهرهجو در مرحله آزمایشی قرار داشته و در نمونههای مورد بررسی، از آسیبپذیری CVE-2020-0796 صرفاً برای استخراج اطلاعات در مورد دستگاهها استفاده شده است. این در حالی است که بهرهجویی از CVE-2020-0796 که ضعفی در پودمان SMBv3 تلقی میشود، میتواند سازمان را در معرض یک حمله مبتنی بر “کرم” (Worm) قرار داده و بهسرعت شبکه را در اختیار مهاجمان قرار دهد. CVE-2020-0796 در اسفند 1398 توسط مایکروسافت ترمیم و اصلاح شد.
همچنین نویسندگان Lemon_Duck ماژولهایی را نیز برای هک سرویسدهندگان REmote DIctionary Server (معروف به Redis) و Hadoop در این بدافزار لحاظ کردهاند. برای شناسایی این سرویسدهندگان، درگاههای TCP/6379 (درگاه پیشفرض Redis) و TCP/8088 (درگاه پیشفرض Hadoop) پویش میشود.
Lemon_Duck برای در اختیار گرفتن کلیه منابع دستگاه، سایر استخراجکنندگان ارز رمز اقدام به متوقف کردن آنها میکند.
نویسندگان این بدافزار به طور مستمر در حال تکامل این بدافزار مخرب هستند. موارد زیر از جمله نکاتی است که با رعایت آنها میتوان سازمان را از گزند این بدافزار مخرب ایمن نگاه داشت:
- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاههای داده، به ویژه حسابهای با سطح دسترسی Administrator/SysAdmin
- محدود کردن سطح دسترسی کاربران
- مدیریت سختگیرانه سطوح دسترسی اعمال شده بر روی پوشههای اشتراکی
- پرهیز از قابل دسترس کردن سرویسهای حساسی نظیر MS-SQL و Domain Controller در بستر اینترنت یا مقاومسازی آنها
- غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیشفرض آن
- بکارگیری محصولات موسوم به Device Control و مسدودسازی حافظههای جداشدنی
- اطمینان از نصب بودن اصلاحیههای امنیتی بر روی تمامی دستگاهها؛ در این مورد خاص، به ویژه اصلاحیههای
CVE-2017-0144، CVE-2017-8464، CVE-2017-8570 و CVE-2020-0796 - ارتقای سیستمهای عامل از رده خارج
- استفاده از ضدویروس قدرتمند و بهروز با قابلیت نفوذیاب
- استفاده از دیواره آتش در درگاه شبکه
- فعالسازی سیاستهای مقابله با بدافزارهای “بدون فایل” (Fileless) در محصولات امنیت نقاط پایانی بر اساس سیاستهای پیشنهادی شرکت مهندسی شبکه گستر
نـشـانـههـای آلـودگـی
- دامنه، نشانی IP و نشانی URL:
- ackng[.]com
- ackng[.]com
- amynx[.]com
- jdjdcjq[.]top
- zer9g[.]com
- zz3r0[.]com
- ackng[.]com:444
- b69kq[.]com:443
- k3qh4[.]com:443
- 71.87.85
- hxxp://d.ackng.com/if_mail.bin?$params
- hxxp://d.ackng.com/kr.bin?$params
- hxxp://d.ackng.com/ln/xr.zip
- hxxp://d.ackng.com/m6.bin?$params
- hxxp://d.ackng.com/m6g.bin?$params
- hxxp://d.ackng.com/nvd.zip
- hxxp://d.ackng.com/ode.bin?$params
- hxxp://t.amynx.com/7p.php?0.8*ipc*%username%*%computername%*+[Environment]::OSVersion.version.Major
- hxxp://t.amynx.com/a.jsp?[attack_vector]_20200820&%username%+%computername%+UUID+random_no
- hxxp://t.amynx.com/eb.jsp?0.8*%username%*%computername%
- hxxp://t.amynx.com/ebo.jsp?0.8*%username%*%computername%
- hxxp://t.amynx.com/ipc.jsp?0.8
- hxxp://t.amynx.com/ipco.jsp?0.8
- hxxp://t.amynx.com/ln/a.asp?src_date_*whoami*hostname*guid
- hxxp://t.amynx.com/ln/core.png?0.8*ssh*whoami*hostname
- hxxp://t.amynx.com/ln/core.png?0.8*ssho*whoami*hostname
- hxxp://t.amynx.com/ln/core.png?rds
- hxxp://t.amynx.com/ln/core.png?rdso
- hxxp://t.amynx.com/ln/core.png?yarn
- hxxp://t.amynx.com/ln/core.png?yarno
- hxxp://t.amynx.com/ms.jsp?0.8*%computername%
- hxxp://t.amynx.com/mso.jsp?0.8*%computername%
- hxxp://t.amynx.com/rdp.jsp
- hxxp://t.amynx.com/rdpo.jsp
- hxxp://t.amynx.com/smgh.jsp?0.8*%computername%
- hxxp://t.amynx.com/smgho.jsp?0.8*%computername%
- hxxp://t.amynx.com/usb.jsp?0.8*%computername%
- hxxp://t.jdjdcjq.top/ln/a.asp?src_date_*whoami*hostname*guid
- فایل:
- blackball
- zip
- zip
- C:\windows\temp\tmp.vbs
- C:\windows\temp\p.bat
- C:\Windows\mkatz.ini
- C:\Windows\Temp\mkatz.ini
- C:\Windows\m.ps1
- C:\Windows\Temp\m.ps1
- C:\Windows\m2.ps1C:\Windows\Temp\m2.ps1
- C:\Windows\Temp\svhhost.exe
- C:\Windows\Temp\svvhost.exe
- C:\Windows\Temp\svchost.exe
- C:\Windows\Temp\ipc.txt
- C:\Windows\Temp\hash.txt
- C:\Windows\Temp\eb.txt
- C:\Windows\system32\svhost.exe
- C:\Windows\SysWOW64\svhost.exe
- C:\Windows\system32\drivers\svhost.exe
- C:\Windows\SysWOW64\drivers\svhost.exe
- %temp%\godmali4.txt
- %temp%\kk4kk.log
- ./xr -o lplp.ackng.com:444 –opencl –donate-level=1 –nicehash -B –http-host=0.0.0.0 –http-port=65529
- فرامین زمانبندیشده:
- \Microsot\Windows\Bluetool
- \Microsot\Windows\Bluetooths
- Autocheck
- Autostart
- Escan
- Ddriver