据火绒安全实验室消息日前蠕虫病毒柠檬鸭 (LemonDuck) 感染量正在持续增加并通过多种爆破方式加速传播等。
柠檬鸭并不是最近高发的勒索软件而是个专注于挖矿的病毒,背后的开发者主要希望感染大量设备进行挖矿获利。
尽管不是勒索软件不过在攻击方式上柠檬鸭也并不示弱,火绒工程师分析发现柠檬鸭内置多种策略进行感染传毒。
例如柠檬鸭会内置多组常见密码用来爆破 RDP、调用永恒之蓝横向传播、调用USBLnk漏洞利用移动设备传播等。
广西名菜柠檬鸭...不好意思走错片场了
蠕虫病毒柠檬鸭:
沉迷挖矿不能自拔的柠檬鸭:
火绒安全实验室经过分析后发现柠檬鸭蠕虫病毒最主要的目的就是感染更多设备然后再安装挖矿模块挖掘门罗币。
XMR即门罗币是个支持以 CPU 进行挖矿的虚拟货币,也正是因为这个特性导致许多黑客感染普通电脑进行挖矿。
然而门罗币挖矿难度几乎与比特币相同,因此家用电脑这点算力很难挖矿,黑客必须感染足够多的设备才能获利。
也正是如此柠檬鸭蠕虫病毒并未发现其他恶意行为,主要就是利用多种方式尽可能感染更多设备然后安装挖矿机。
由于门罗币的隐私属性因此我们并不能查询黑客目前的挖矿收益,但当前感染量非常大因此黑客也可能获益颇丰。
XMRig是个开源的门罗币挖矿程序,上图为柠檬鸭的挖矿模块运行图
攻击方法不新鲜但感染量却并不小:
柠檬鸭蠕虫病毒最初在 2019 年被发现,这款蠕虫病毒使用的都是比较常规的攻击方式因此整体来说并不算新鲜。
然而值得关注的是虽然攻击手法老套但依然感染大量设备并且感染量持续增长,弱密码和漏洞依然是黑客的首选。
柠檬鸭内置的攻击方式主要是密码表来爆破企业的远程桌面连接以及借用永恒之蓝等安全漏洞进行局域网传播等。
其中远程桌面连接爆破已经是老生常谈的问题,最主要的依然还是企业应该使用高强度密码不能使用简单弱密码。
疫情期间许多企业在家办公或许是柠檬鸭感染量剧增的原因之一,因为许多企业员工需要使用远程桌面连接电脑。
至于漏洞问题这基本没什么说的了,毕竟永恒之蓝都是几年前的漏洞了,到现在还不补丁修复着实让人非常诧异。
所幸柠檬鸭只是挖矿不是勒索软件或者窃取企业资料,不然对于企业来说被感染后遭受的损失可能是非常巨大的。
注:本文已经火绒安全实验室授权演绎-发布,未经许可禁止转载。
