據火絨安全實驗室消息日前蠕蟲病毒檸檬鴨 (LemonDuck) 感染量正在持續增加並通過多種爆破方式加速傳播等。
檸檬鴨並不是最近高發的勒索軟件而是個專注於挖礦的病毒,背後的開發者主要希望感染大量設備進行挖礦獲利。
儘管不是勒索軟件不過在攻擊方式上檸檬鴨也並不示弱,火絨工程師分析發現檸檬鴨內置多種策略進行感染傳毒。
例如檸檬鴨會內置多組常見密碼用來爆破 RDP、調用永恆之藍橫向傳播、調用USBLnk漏洞利用移動設備傳播等。
廣西名菜檸檬鴨...不好意思走錯片場了
蠕蟲病毒檸檬鴨:
沉迷挖礦不能自拔的檸檬鴨:
火絨安全實驗室經過分析後發現檸檬鴨蠕蟲病毒最主要的目的就是感染更多設備然後再安裝挖礦模塊挖掘門羅幣。
XMR即門羅幣是個支持以 CPU 進行挖礦的虛擬貨幣,也正是因為這個特性導致許多黑客感染普通電腦進行挖礦。
然而門羅幣挖礦難度幾乎與比特幣相同,因此家用電腦這點算力很難挖礦,黑客必須感染足夠多的設備才能獲利。
也正是如此檸檬鴨蠕蟲病毒並未發現其他惡意行為,主要就是利用多種方式儘可能感染更多設備然後安裝挖礦機。
由於門羅幣的隱私屬性因此我們並不能查詢黑客目前的挖礦收益,但當前感染量非常大因此黑客也可能獲益頗豐。
XMRig是個開源的門羅幣挖礦程序,上圖為檸檬鴨的挖礦模塊運行圖
攻擊方法不新鮮但感染量卻並不小:
檸檬鴨蠕蟲病毒最初在 2019 年被發現,這款蠕蟲病毒使用的都是比較常規的攻擊方式因此整體來說並不算新鮮。
然而值得關注的是雖然攻擊手法老套但依然感染大量設備並且感染量持續增長,弱密碼和漏洞依然是黑客的首選。
檸檬鴨內置的攻擊方式主要是密碼錶來爆破企業的遠程桌面連接以及借用永恆之藍等安全漏洞進行局域網傳播等。
其中遠程桌面連接爆破已經是老生常談的問題,最主要的依然還是企業應該使用高強度密碼不能使用簡單弱密碼。
疫情期間許多企業在家辦公或許是檸檬鴨感染量劇增的原因之一,因為許多企業員工需要使用遠程桌面連接電腦。
至於漏洞問題這基本沒什麼說的了,畢竟永恆之藍都是幾年前的漏洞了,到現在還不補丁修復著實讓人非常詫異。
所幸檸檬鴨只是挖礦不是勒索軟件或者竊取企業資料,不然對於企業來說被感染後遭受的損失可能是非常巨大的。
注:本文已經火絨安全實驗室授權演繹-發佈,未經許可禁止轉載。
