بدافزار Lemon Duck چیست؟
Lemon Duck یک بدافزار رمزنگاری شده است که شامل کدی است که باعث ایجاد تغییرات ناخواسته و معمولاً هم خطرناک در سیستم ها می شود. بدافزار Lemon Duck میتواند اعتبارنامههای امنیتی را بدزدد و کنترلهای امنیتی سیستم را نیز حذف کند.
یکی از بیشترین راه های آلوده شدن سیستم به بدافزار Lemon Duck از طریق ایمیل می باشد. بدافزار Lemon Duck در سیستم به صورت جانبی حرکت میکند و پخش می شود. در نهایت ابزارهایی را در سیستم برای فعالیت بیشتر خود حذف میکند.
به نقل از وبلاگ شرکت مایکروسافت، بدافزار Lemon Duck به عنوان یک تهدید بین پلتفرمی(cross-platform) نیز شناخته می شود یعنی نه تنها سیستم های ویندوزی بلکه سیستم های مبتنی بر لینوکس را نیز هدف قرار می دهد.
چگونه بدافزار Lemon Duck گسترش می یابد؟
بدافزار Lemon Duck به روشهای متعددی منتشر میشود که همین مورد یکی دیگر از دلایل خطرناک بودن آن است.
بدافزار Lemon Duck توسط ایمیلهای فیشینگ جعلی و دستگاههای متصل به USB مانند درایوهای فلش پخش می شود. که این امر باعث سوءاستفادههای مختلف از سیستم کاربر و انجام حملات brute-force می شود.
در سال های اخیر از تهدید جهانی کووید-19 به عنوان یک مزیت برای فریب دادن افراد و ارسال ایمیلهای آلوده به بدافزار Lemon Duck استفاده شده است. همچنین آسیب پذیری که در زمان دسترسی سرور به سیستم های منسوخ قدیمی وجود دارد نیز توسط بدافزار Lemon Duck مورد سوءاستفاده قرار گرفته است.
علائم:
- تروجان ها برای نفوذ مخفیانه به کامپیوتر قربانی طراحی شده اند.
- در این نفوذ سیستم ساکت و بدون علامت می ماند.
- بنابراین، هیچ علامت خاصی به وضوح در دستگاه آلوده قابل مشاهده نیست!!!
قابلیت های بدافزار Lemon Duck:
- ماینرهای XMR را برای ارزهای دیجیتال ارائه می دهد.
- از تکنیک آلوده کردن بدون فایل(Fileless infection) استفاده می کند.
- اطلاعاتی مانند نام کامپیوتر، UUID ماشین، آدرس MAC و آدرس IP و غیره دزدیده شده و به سرور C&C (Command & Control) ارسال می شود.
- اصلاح تنظیمات فایروال ویندوز برای باز کردن پورت 65529/TCP در ماشینهای در معرض خطر.
- نسخه های 32 و 64 بیتی کامپوننت DLL مخرب بدافزار Lemon Duck در درایوهای با قابلیت جابجایی(removable drives) و همچنین در درایوهای شبکه قرار داده می شود.
- برای اجرای کد بدافزار Lemon Duck در هنگام راه اندازی مجدد(LNK)، کد جاوا اسکریپت مخرب بدافزار در پوشه راه اندازی(startup folder) قرار می گیرد.
- کدهای PowerShell از راه دور و با استفاده از WMI اجرا می شوند.
- ابزارهای منبع باز مانند PowerDump، freerdp و Mimikatz برای انجام اقدامات مختلف استفاده می شوند.
- یک ماژول ردیابی C2 که مشخصات دستگاه و وضعیت هر ماژول اجرا شده را به سرور C2 گزارش می دهد، نصب می گردد. همچنین مانیتورینگ مستمر دیگری که شامل جزئیات استفاده از ماژول C2 در مورد حسابهای کاربری در معرض خطر و پیکربندی ماشین و… است نیز ارسال میشود.
- در فواصل زمانی منظم کپی های تازه ای از اسکریپت های مخرب با استفاده از مکانیسم Windows Scheduled Tasks دانلود می شوند.
- زنجیره حمله بدافزار Lemon Duck:
- جزئیات در مورد بدافزار Lemon Duck (آلودگی سیستم ویندوز قدیمی با استفاده از EternalBlue***)
چگونه از نصب بدافزار جلوگیری کنیم؟
به کاربر توصیه می شود ایمیل های مشکوک به خصوص ایمیل هایی که از آدرس های ناشناس یا فرستنده های مشکوک دریافت می شوند را باز نکند. پیوستها، پیوندها و پیامهای نامشخص هرگز نباید باز شوند، زیرا باز کردن آنها میتواند منجر به آلوده شدن سیستم می شود.
تنها باید از کانال های رسمی و تایید شده دانلود انجام شود. محصولات و ابزارهای ارائه شده توسط توسعه دهندگان قانونی و رسمی باید همیشه فعال و به روز نگه داشته شوند. فعالسازی و بهروزرسانی ابزارهای شخص ثالث که غیرقانونی هستند، نباید انجام شود، زیرا برای توزیع بدافزار مورد استفاده قرار میگیرند.
برای اطمینان از یکپارچگی دستگاه و ایمنی کاربران، نصب یک مجموعه معتبر آنتی ویروس/ضد جاسوس افزار بسیار مهم است. این نرمافزار باید همیشه بهروز نگه داشته شود و از آن برای اجرای اسکنهای منظم سیستم، برای حذف همه تهدیدات شناسایی شده/بالقوه استفاده شود.
اگر سیستم قبلاً آلوده شده است، اجرای اسکن با آنتی ویروس Combo Cleaner برای حذف خودکار بدافزارهای نفوذ شده توسط ویندوز توصیه می شود.
***EternalBlue یک حمله سایبری است که توسط آژانس امنیت ملی ایالات متحده (NSA) توسعه یافته است. این مورد توسط گروه هکر Shadow Brokers در 14 آوریل 2017، یک ماه پس از انتشار وصله های مایکروسافت برای این آسیب پذیری، فاش شد.
منبع: Cyber Hat Solutions Pvt Ltd
cyberhatsolutions.com