查看原文
其他

“柠檬鸭”进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击

进击的小学生 微步在线研究响应中心 2022-04-27

1

 概述

“LemonDuck”,又名“驱动人生挖矿木马”、“永恒之蓝下载器”、“蓝茶行动”、“黑球行动”,是一种主动更新且强大的恶意软件,主要以其僵尸网络和加密货币挖掘(XMR门罗币)而闻名。现在,LemonDuck的活动除了传统的bot和挖矿之外,还会窃取凭据、移除安全控制、通过电子邮件传播、横向移动,并最终下发更多的恶意工具。

微步情报局近期捕获到多起Zegost变种木马以及伴随的挖矿攻击活动,经过确认,为“LemonDuck”木马的新活动,分析有如下发现:

  • 攻击者依旧使用钓鱼邮件、漏洞利用和USB等移动设备等三种传播方式,在内嵌的母体文件运行获取权限后,通过模块下载进行内网横移,进行大范围扩散传播;
  • 该团伙目前仍十分活跃,近期微步情报局监测到该组织更新了多个模块,包括Zegost变种木马、ClipBanker信息窃取器和挖矿程序等;
  • 通过监控发现,LemonDuck团伙目前已不仅仅局限于构建僵尸网络及挖矿盈利,还增加了信息窃取,发展肉鸡和盗窃钱包等多个恶意行为;
  • 域名注册商大部分为Epik等海外服务商进行模块托管下载且隐藏所有的注册信息,避免被溯源到组织信息;
  • 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
2

 详情

根据我们对LemonDuck的长期跟踪及关联分析,发现当前该组织是跨平台跨行业多维度进行攻击,危害范围广,详情如下表:

团伙画像

特点

描述

平台

Windows、Linux

攻击目标

制造业、政府、能源、科研教育、IOT厂商

攻击地区

前期主要针对中国

其他国家和地区:美国、俄罗斯、德国、英国、印度、韩国、加拿大、法国和越南

攻击目的

挖矿、植入后门窃密获取利益

攻击向量

暴力破解/钓鱼邮件/漏洞(详见附录)

武器库

Zegost、ClipBanker、XMRig、Mimikatz、PowerDump、freerdp

该团伙系列木马的重大迭代更新:

从上述团伙画像和使用木马的版本迭代来看,LemonDuck背后的团伙至少从2018年活跃至今,具备构造僵尸网络、木马开发能力,多平台攻击能力(Windows、Linux)。通过对该团伙使用的武器库进行分析,发现其大量使用开源模块:XMRig、ReflectivePEInjection、FreeRDP、GetPassHashes、SMBGhost等开源项目,使其开发、攻击成本更低。若其感染成功,组建僵尸网络,将形成利用僵尸网络发起大规模DDoS攻击和下载各种威胁木马的隐患。

3

 详细分析

本次捕获的LemonDuck攻击新活动中,新增模块及功能如下:

模块名

功能

Java.exe

类Zegost木马,实现后门功能

9b.exe

ClipBanker窃密木马,窃取用户虚拟货币

we32/64.exe

释放NSSM服务注册器和挖矿程序

样本行为特点分析如下:

  • 提供XMR 矿工来挖掘加密货币;

  • 窃取计算机名、机器UUID、MAC地址、IP地址等信息并发送给C&C服务器;

  • 修改Windows 防火墙设置在受感染计算机上打开端口 65329/TCP;

  • 使用Powershell IEX混淆代码,试图绕过杀软;

  • 利用Windows 计划任务机制定期下载恶意脚本的新副本;

  • 下发Zegost、ClipBanker等后门木马执行各种操作。

3.1、初始访问

LemonDuck组织使用钓鱼邮件、漏洞利用和USB移动设备等三种传播方式进行初步传播,获取用户权限后,通过感染移动设备、使用漏洞内网横移及获取用户的邮件信息后向存储的联系人发送钓鱼邮件等方式进行二次迭代传播。
我们选取其中的钓鱼邮件进行分析,如下图所示:

钓鱼邮件诱饵的附件通常是以下三种类型之一:.doc、.js 或包含 .js 文件的 .zip。无论是哪种类型,该文件都被命名为“Readme”。

微步情报局观察到的LemonDuck从活跃至今使用的诱饵文件名中可以发现,攻击者擅长使用现下热门的话题:

标题

正文

The Truth of COVID-19

Virus actually comes from United States of America

COVID-19 nCov Special info WHO

very important infomation for Covid-19

HALTH ADVISORY:CORONA VIRUS

see attached document for your action and discretion

WTF

the outbreak of CORONA VIRUS is cause of concern especially where forign personal have recently arrived or will be arriving at various intt in near future

What the fcuk

what’s wrong with you?are you out of your mind!!!!!

good bye

are you out of your mind!!!!!what ‘s wrong with you?

farewell letter

good bye, keep in touch

broken file

file is brokened, i can’t open it

This is your order?

can you help me to fix the file,i can’t read it

由于LemonDuck邮件传播方式,是使用脚本自动生成邮件进行多次迭代传播,所以其中的邮件标题和正文内容较为统一,不易改变,可根据邮件标题和正文进行重点检测。       图示自动化生成扩散邮件的脚本模块:

3.2、模块功能

LemonDuck 以往的攻击活动来说,大部分的攻击模块都是以混淆powershell脚本的模式下发的,我们捕捉到的模块共有17项,其通用文件名和功能附在末尾附录中。本处只针对发现的新模块进行分析:

新增模块1:Java.exe

该可执行程序伪装为正常的java应用,实际上为PEcompact打包的类Zegost木马文件。

经过脱壳后发现,核心payload为dll文件,运行开始时首先将自身移动到“%Programdata%”目录,并添加服务实现持久化,添加的服务名伪装为Java文件,并设置文件隐藏属性。

Service_path

Service_name

C:\ProgramData\java.exe

Java(TM)Platform8

对抗杀毒软件,内置杀毒软件与对应进程名称部分列表如下:

当前期准备工作完成后,跟C2: e.0000o.xyz发起通信,接收C2返回的指令。后门部分功能如下:

新增模块2:9b.exe

该模块使用.net打包,经分析为ClipBanker窃密木马,主要恶意行为有:窃取浏览器历史记录、cookie、Outlook 数据、Skype、Telegram 或加密货币钱包帐户地址。本次分析的样本中,主要从用户的剪切板中查找并替换用户的虚拟货币钱包地址。

初始样本文件是个Dropper释放器,通过执行base64编码的powershell脚本释放payload,并实现持久化驻留。

释放路径

C:\\ProgramData\\AMD Driver\\ Amdriver.exe

注册表路径

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

注册表名称

AMD Update Service

释放的payload中,文件原始信息为:RedLine.Clipper.exe,主要监控用户剪切板,通过正则匹配发现虚拟货币钱包地址的话,则替换为攻击者自身的钱包。部分攻击者钱包地址如下:

钱包类型

钱包地址

Bitcoin

bc1qz4vn93cyt7zgu9fzedjvvjvp5s6sr6u2rgmejv

BSC

0x8a979870DA461edd86C81e12005Db20eeE05DF59

Litecoin

ltc1qxpfqju9wek527zxm8uypjrghv5m20zuhs4xc4z

XMR

41fJsmy8oQD9JnHe7gu8WXWDLSUpFfZdx556hqXeaLhjgJuh1MZaKZaRBnBbjFMg8EBofxsjMMxCaVwhEZhs36eMSgFarzo

DASH

XmeDLNVezW61MtLfncH63DopM4mHMDMJrv

Dogecoin

D7NsUEdtpT6Q5S8w7ygHUThgmWpZqsbmTe

Bitcoin

t1fPyNG184fXWvj7FNa2tuV9wq4u2q3aoDo

我们查看其中一个Bitcoin钱包地址可以发现,攻击者目前已经窃取到了0.48个比特币,而攻击者窃取的钱包类型,多达11个,也算得上是一笔不小的收益了。

新增模块3:we32/64.exe

该模块实际上是个压缩包文件,通过解压后调用脚本执行两个PE可执行文件,将挖矿程序“Windowss.exe”注册为系统服务,保证挖矿活动能持久运行。

通过安装脚本,将恶意文件伪装为系统文件,迷惑用户:

原始文件名

替换后的文件名

Spoolsvs.exe

%windir%\Spoolsv.exe

Windowss.exe

%windir%\Taskngr.exe

其中spoolsvs.exe文件,是服务封装程序“NSSM”,它可以将普通exe程序封装成服务,使之像windows服务一样运行。在这里,该程序封装的是二次修改后的挖矿程序Windowss.exe注册为名为netipstart的服务,使其能够实现持久挖矿,获取收益。

而Windowss.exe就是网络挖矿威胁中常见的xmr挖矿了,通过stratum协议向私有矿池地址:x.l0o01.com发起挖矿请求。

3.3、资产特点

LemonDuck其传播形式上是一种僵尸网络,通过其基础设施(下载站点)供受害主机下载恶意脚本进行传播,针对它的下载传播站点,可以大致区分为两部分:duck域名和cat域名。      

基础设施

域名示例

特点

Duck

t.zer2.com

t.hwqloan.com

t.amynx.com

普遍使用,危害性广。主要执行内网入侵、传播,挖矿获取收益。

Cat

t.netcatkit.com

catkit.com

down.sqlnetcat.com

危害性高,主要出现与21年初,其域名结构中含有”cat”单词,该设施除了duck域的功能外,还会传播RAT、Backdoor等后门文件。

对LemonDuck域名进行总结分析可以发现:
  • 大部分为dga生成的域名结构,其三级子域名通常为[a-z]{1,3}字符,最常见的为[t、d、down];
  • 域名服务商大部分为“Epik Inc.”,该服务提供商自称是“域名行业的瑞士银行”,以向具有极右翼内容的网站提供服务而闻名。所以即使被举报为恶意服务器,也很大可能不会脱机,继续提供恶意下载服务;
  • 顶级域名一般为.com、.net等价值较高的域名;
  • 在恶意域名的url上,因为LemonDuck的各个阶段都会回传受害机器信息,主要收集mac地址、杀软信息、感染版本、系统版本、用户名等信息并上传到服务器并下载新一轮的脚本,而其中的http请求中UA字段也包含了极具特点的“Lemon-Duck”字段。

URL特征:恶意域名+模块名称+BIT+GUID+MAC+OS+ID

http[:]//t.zer2[.]com/v.jsp?BIT=64&GUID=03000200-0400-0500-0006-000700080009&MAC=00:E0:4C:0C:AF:2A&OS=6.1.7601&_T=1572258245.73619&ipc_20190909?ID=PC-20190904FYAY

4

 关联分析
1.通过对本次活动的下载站点“d.tocat.co“域名分析,它的结构上与LemonDuck披露的”CAT“域名高度相似,都是采用了[a-z]{1,3}.*cat*的域名结构。通过微步在线溯源平台和大数据平台进行攻击活动回溯,可以发现该域名历史上有多个下载.jsp后缀的powershell脚本文件。

本次分析的域名 
   已知LemonDuck域名

                                          

2.在本次捕获的powershell样本中,从代码混淆手法、函数变量,代码结构上都几乎一致,差异在于以往的powershell代码经过了4次IEX混淆,而现在代码只经过了2次混淆。


本次分析样本 
已知LemonDuck样本

                                           

3.通过分析其新增模块,我们注意到本次的攻击事件与以往的活动略有不同。在以往使用的挖矿模块中,大都使用powershell脚本反射式加载xmrig进行无文件挖矿,而本次使用的则是“NSSM“+”XMRig“可执行文件来执行挖矿活动。

可执行程序挖矿

图示反射式注入Miner


公众号内回复“LD”,可获取完整版(含IOC) PDF 版报告


- END -


微步情报局招聘通道


沙箱安全开发(Windows、Linux方向)  戳我查看岗位详情

高级应急响应工程师 戳我查看岗位详情


高级渗透测试工程师 戳我查看岗位详情



内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”



阅读原文,可加入粉丝群

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存