好些黑客都會利用殭屍網絡(Botnet)進行攻擊,使預定攻擊目標癱瘓並阻斷服務。日前 Microsoft 微軟發表了一份報告,說明一個名為 LemonDuck 的殭屍網絡程式之最新演化情況,能利用 Exchange Server 等 ProxyLogon 及其他舊漏洞,攻擊Windows / Linu x伺服器及 IoT 裝置。
- Microsoft 微軟發表了一份報告,說明一個名為 LemonDuck 的殭屍網絡程式之最新演化情況
- 它本來是採礦程式,主要在中國感染
- LemonDuck 現在還能竊取登入帳密、移除安全控制、在企業網路內部橫向移動,並在用戶電腦上植入人為操作的工具
【相關報道】
LemonDuck 第一個版本其實在幾年前已出現,今年3 月微軟發現 Exchange Server Proxylogon 漏洞後,卡巴斯基也發現有黑客利用 LemonDuck 對用戶電腦發動攻擊。它本來是採礦程式,主要在中國感染,但隨後幾年持續演進,不論攻擊的平台、感染區域、傳染管道都愈來愈廣泛,而且變得更危險。至今,LemonDuck 已擴散多國,包括美、英、俄、德、法、韓、加拿大及越南等地,鎖定製造業及 IoT 業。
LemonDuck 的其中一個特點,是可同時感染 Windows 和 Linux,程式在網絡上掃瞄防護較弱的 SMB、Exchange、SQL、Hadoop、REDIS、RDP 伺服器或其他邊緣裝置,尋找潛在受害目標。它能利用網釣郵件、Eternal Blue SMB 開採程式、USB 裝置、暴力破解等多種方式進入受害系統,還能利用最新時事擴大攻擊對象。去年便利用新冠肺炎發動釣魚信件,今年則利用 Exchange Server 新發現的漏洞,即 ProxyLogon 駭入未修補的電腦。
微軟指出,廠商和用戶往往把重點放在修補新漏洞,而忽略舊漏洞,但 LemonDuck 還會使用已知的舊漏洞。
就現時所知,LemonDuck 使用的漏洞包括:CVE-2017-0144 (EternalBlue)、CVE-2017-8464 (LNK RCE)、CVE-2019-0708 (BlueKeep)、CVE-2020-0796 (SMBGhost)、CVE-2021-26855 (ProxyLogon)、CVE-2021-26857(ProxyLogon)、CVE-2021-26858 (ProxyLogon)和 CVE-2021-27065(ProxyLogon)。
LemonDuck 除了原有的殭屍網絡程式及挖礦外,LemonDuck 現在還能竊取登入帳密、移除安全控制、利用傳遞雜湊(pass-the-hash)手法在企業網路內部橫向移動,並在用戶電腦上植入人為操作的工具。2021 年 LemonDuck 使用的外部 C&C (C2)基礎架構也更多元,令受害者的電腦得以不斷更新攻擊武器。
【相關報道】
【網上安全貼士】想知道自己嘅個人資料有無喺網上外洩,有咩事都會收到即時通知?又想有效防禦各種網絡威脅,兼且保密你嘅網絡行蹤?
而家送ezone讀者限時免費3個月網絡安全組合 (原價$78/月) ,一次過享受個人網絡身份保護ID PROTECTION、防毒軟件SAFE及VPN服務!服務由香港寬頻及F-Secure聯手打造,F-Secure最近更榮獲AV-TEST 2020最佳防護獎及最佳表現獎,相當值得信賴。
優惠截止2021年8月31日,快啲透過以下URL登記:
https://bit.ly/33mQ4YB
Source:微軟