“柠檬鸭”进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击
概述
“LemonDuck”,又名“驱动人生挖矿木马”、“永恒之蓝下载器”、“蓝茶行动”、“黑球行动”,是一种主动更新且强大的恶意软件,主要以其僵尸网络和加密货币挖掘(XMR门罗币)而闻名。现在,LemonDuck的活动除了传统的bot和挖矿之外,还会窃取凭据、移除安全控制、通过电子邮件传播、横向移动,并最终下发更多的恶意工具。
微步情报局近期捕获到多起Zegost变种木马以及伴随的挖矿攻击活动,经过确认,为“LemonDuck”木马的新活动,分析有如下发现:
攻击者依旧使用钓鱼邮件、漏洞利用和USB等移动设备等三种传播方式,在内嵌的母体文件运行获取权限后,通过模块下载进行内网横移,进行大范围扩散传播; 该团伙目前仍十分活跃,近期微步情报局监测到该组织更新了多个模块,包括Zegost变种木马、ClipBanker信息窃取器和挖矿程序等; 通过监控发现,LemonDuck团伙目前已不仅仅局限于构建僵尸网络及挖矿盈利,还增加了信息窃取,发展肉鸡和盗窃钱包等多个恶意行为; 域名注册商大部分为Epik等海外服务商进行模块托管下载且隐藏所有的注册信息,避免被溯源到组织信息; 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
根据我们对LemonDuck的长期跟踪及关联分析,发现当前该组织是跨平台跨行业多维度进行攻击,危害范围广,详情如下表:
团伙画像 | |
特点 | 描述 |
平台 | Windows、Linux |
攻击目标 | 制造业、政府、能源、科研教育、IOT厂商 |
攻击地区 | 前期主要针对中国 其他国家和地区:美国、俄罗斯、德国、英国、印度、韩国、加拿大、法国和越南 |
攻击目的 | 挖矿、植入后门窃密获取利益 |
攻击向量 | 暴力破解/钓鱼邮件/漏洞(详见附录) |
武器库 | Zegost、ClipBanker、XMRig、Mimikatz、PowerDump、freerdp |
该团伙系列木马的重大迭代更新:
从上述团伙画像和使用木马的版本迭代来看,LemonDuck背后的团伙至少从2018年活跃至今,具备构造僵尸网络、木马开发能力,多平台攻击能力(Windows、Linux)。通过对该团伙使用的武器库进行分析,发现其大量使用开源模块:XMRig、ReflectivePEInjection、FreeRDP、GetPassHashes、SMBGhost等开源项目,使其开发、攻击成本更低。若其感染成功,组建僵尸网络,将形成利用僵尸网络发起大规模DDoS攻击和下载各种威胁木马的隐患。
本次捕获的LemonDuck攻击新活动中,新增模块及功能如下:
模块名 | 功能 |
Java.exe | 类Zegost木马,实现后门功能 |
9b.exe | ClipBanker窃密木马,窃取用户虚拟货币 |
we32/64.exe | 释放NSSM服务注册器和挖矿程序 |
样本行为特点分析如下:
提供XMR 矿工来挖掘加密货币;
窃取计算机名、机器UUID、MAC地址、IP地址等信息并发送给C&C服务器;
修改Windows 防火墙设置在受感染计算机上打开端口 65329/TCP;
使用Powershell IEX混淆代码,试图绕过杀软;
利用Windows 计划任务机制定期下载恶意脚本的新副本;
下发Zegost、ClipBanker等后门木马执行各种操作。
3.1、初始访问
钓鱼邮件诱饵的附件通常是以下三种类型之一:.doc、.js 或包含 .js 文件的 .zip。无论是哪种类型,该文件都被命名为“Readme”。
微步情报局观察到的LemonDuck从活跃至今使用的诱饵文件名中可以发现,攻击者擅长使用现下热门的话题:
标题 | 正文 |
The Truth of COVID-19 | Virus actually comes from United States of America |
COVID-19 nCov Special info WHO | very important infomation for Covid-19 |
HALTH ADVISORY:CORONA VIRUS | see attached document for your action and discretion |
WTF | the outbreak of CORONA VIRUS is cause of concern especially where forign personal have recently arrived or will be arriving at various intt in near future |
What the fcuk | what’s wrong with you?are you out of your mind!!!!! |
good bye | are you out of your mind!!!!!what ‘s wrong with you? |
farewell letter | good bye, keep in touch |
broken file | file is brokened, i can’t open it |
This is your order? | can you help me to fix the file,i can’t read it |
由于LemonDuck邮件传播方式,是使用脚本自动生成邮件进行多次迭代传播,所以其中的邮件标题和正文内容较为统一,不易改变,可根据邮件标题和正文进行重点检测。 图示自动化生成扩散邮件的脚本模块:
3.2、模块功能
LemonDuck 以往的攻击活动来说,大部分的攻击模块都是以混淆powershell脚本的模式下发的,我们捕捉到的模块共有17项,其通用文件名和功能附在末尾附录中。本处只针对发现的新模块进行分析:
新增模块1:Java.exe
该可执行程序伪装为正常的java应用,实际上为PEcompact打包的类Zegost木马文件。
经过脱壳后发现,核心payload为dll文件,运行开始时首先将自身移动到“%Programdata%”目录,并添加服务实现持久化,添加的服务名伪装为Java文件,并设置文件隐藏属性。
Service_path | Service_name |
C:\ProgramData\java.exe | Java(TM)Platform8 |
对抗杀毒软件,内置杀毒软件与对应进程名称部分列表如下:
当前期准备工作完成后,跟C2: e.0000o.xyz发起通信,接收C2返回的指令。后门部分功能如下:
新增模块2:9b.exe
该模块使用.net打包,经分析为ClipBanker窃密木马,主要恶意行为有:窃取浏览器历史记录、cookie、Outlook 数据、Skype、Telegram 或加密货币钱包帐户地址。本次分析的样本中,主要从用户的剪切板中查找并替换用户的虚拟货币钱包地址。
初始样本文件是个Dropper释放器,通过执行base64编码的powershell脚本释放payload,并实现持久化驻留。
释放路径 | C:\\ProgramData\\AMD Driver\\ Amdriver.exe |
注册表路径 | SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run |
注册表名称 | AMD Update Service |
释放的payload中,文件原始信息为:RedLine.Clipper.exe,主要监控用户剪切板,通过正则匹配发现虚拟货币钱包地址的话,则替换为攻击者自身的钱包。部分攻击者钱包地址如下:
钱包类型 | 钱包地址 |
Bitcoin | bc1qz4vn93cyt7zgu9fzedjvvjvp5s6sr6u2rgmejv |
BSC | 0x8a979870DA461edd86C81e12005Db20eeE05DF59 |
Litecoin | ltc1qxpfqju9wek527zxm8uypjrghv5m20zuhs4xc4z |
XMR | 41fJsmy8oQD9JnHe7gu8WXWDLSUpFfZdx556hqXeaLhjgJuh1MZaKZaRBnBbjFMg8EBofxsjMMxCaVwhEZhs36eMSgFarzo |
DASH | XmeDLNVezW61MtLfncH63DopM4mHMDMJrv |
Dogecoin | D7NsUEdtpT6Q5S8w7ygHUThgmWpZqsbmTe |
Bitcoin | t1fPyNG184fXWvj7FNa2tuV9wq4u2q3aoDo |
我们查看其中一个Bitcoin钱包地址可以发现,攻击者目前已经窃取到了0.48个比特币,而攻击者窃取的钱包类型,多达11个,也算得上是一笔不小的收益了。
新增模块3:we32/64.exe
该模块实际上是个压缩包文件,通过解压后调用脚本执行两个PE可执行文件,将挖矿程序“Windowss.exe”注册为系统服务,保证挖矿活动能持久运行。
原始文件名 | 替换后的文件名 |
Spoolsvs.exe | %windir%\Spoolsv.exe |
Windowss.exe | %windir%\Taskngr.exe |
而Windowss.exe就是网络挖矿威胁中常见的xmr挖矿了,通过stratum协议向私有矿池地址:x.l0o01.com发起挖矿请求。
3.3、资产特点
LemonDuck其传播形式上是一种僵尸网络,通过其基础设施(下载站点)供受害主机下载恶意脚本进行传播,针对它的下载传播站点,可以大致区分为两部分:duck域名和cat域名。
基础设施 | 域名示例 | 特点 |
Duck | t.zer2.com t.hwqloan.com t.amynx.com | 普遍使用,危害性广。主要执行内网入侵、传播,挖矿获取收益。 |
Cat | t.netcatkit.com catkit.com down.sqlnetcat.com | 危害性高,主要出现与21年初,其域名结构中含有”cat”单词,该设施除了duck域的功能外,还会传播RAT、Backdoor等后门文件。 |
大部分为dga生成的域名结构,其三级子域名通常为[a-z]{1,3}字符,最常见的为[t、d、down]; 域名服务商大部分为“Epik Inc.”,该服务提供商自称是“域名行业的瑞士银行”,以向具有极右翼内容的网站提供服务而闻名。所以即使被举报为恶意服务器,也很大可能不会脱机,继续提供恶意下载服务; 顶级域名一般为.com、.net等价值较高的域名; 在恶意域名的url上,因为LemonDuck的各个阶段都会回传受害机器信息,主要收集mac地址、杀软信息、感染版本、系统版本、用户名等信息并上传到服务器并下载新一轮的脚本,而其中的http请求中UA字段也包含了极具特点的“Lemon-Duck”字段。
URL特征:恶意域名+模块名称+BIT+GUID+MAC+OS+ID
http[:]//t.zer2[.]com/v.jsp?BIT=64&GUID=03000200-0400-0500-0006-000700080009&MAC=00:E0:4C:0C:AF:2A&OS=6.1.7601&_T=1572258245.73619&ipc_20190909?ID=PC-20190904FYAY |
本次分析的域名 | 已知LemonDuck域名 |
2.在本次捕获的powershell样本中,从代码混淆手法、函数变量,代码结构上都几乎一致,差异在于以往的powershell代码经过了4次IEX混淆,而现在代码只经过了2次混淆。
本次分析样本 | 已知LemonDuck样本 |
3.通过分析其新增模块,我们注意到本次的攻击事件与以往的活动略有不同。在以往使用的挖矿模块中,大都使用powershell脚本反射式加载xmrig进行无文件挖矿,而本次使用的则是“NSSM“+”XMRig“可执行文件来执行挖矿活动。
可执行程序挖矿
图示反射式注入Miner
公众号内回复“LD”,可获取完整版(含IOC) PDF 版报告
- END -
微步情报局招聘通道
❖
沙箱安全开发(Windows、Linux方向) 戳我查看岗位详情
❖
高级应急响应工程师 戳我查看岗位详情
❖
高级渗透测试工程师 戳我查看岗位详情
内容转载与引用
1. 内容转载,请微信后台留言:转载+转载平台
2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”