By | 16 اسفند 1400

بدافزار Lemon Duck چیست؟

Lemon Duck یک بدافزار رمزنگاری شده است که شامل کدی است که باعث ایجاد تغییرات ناخواسته و معمولاً هم خطرناک در سیستم ها می شود. بدافزار Lemon Duck می‌تواند اعتبارنامه‌های امنیتی را بدزدد و کنترل‌های امنیتی سیستم را نیز حذف کند.

یکی از بیشترین راه های آلوده شدن سیستم به بدافزار Lemon Duck از طریق ایمیل‌ می باشد. بدافزار Lemon Duck در سیستم به صورت جانبی حرکت می‌کند و پخش می شود. در نهایت ابزارهایی را در سیستم برای فعالیت بیشتر خود حذف می‌کند.

به نقل از وبلاگ شرکت مایکروسافت، بدافزار Lemon Duck به عنوان یک تهدید بین پلتفرمی(cross-platform) نیز شناخته می شود یعنی نه تنها سیستم های ویندوزی بلکه سیستم های مبتنی بر لینوکس را نیز هدف قرار می دهد.

چگونه بدافزار Lemon Duck گسترش می یابد؟

بدافزار Lemon Duck به روش‌های متعددی منتشر می‌شود که همین مورد یکی دیگر از دلایل خطرناک بودن آن است.

بدافزار Lemon Duck توسط ایمیل‌های فیشینگ جعلی و دستگاه‌های متصل به USB مانند درایوهای فلش پخش می شود. که این امر باعث سوءاستفاده‌های مختلف از سیستم کاربر و انجام حملات brute-force می شود.

در سال های اخیر از تهدید جهانی کووید-19 به عنوان یک مزیت برای فریب دادن افراد و ارسال ایمیل‌های آلوده به بدافزار Lemon Duck استفاده شده است. همچنین آسیب پذیری که در زمان دسترسی سرور به سیستم های منسوخ قدیمی وجود دارد نیز توسط بدافزار Lemon Duck مورد سوءاستفاده قرار گرفته است.

علائم:

  • تروجان ها برای نفوذ مخفیانه به کامپیوتر قربانی طراحی شده اند.
  • در این نفوذ سیستم ساکت و بدون علامت می ماند.
  • بنابراین، هیچ علامت خاصی به وضوح در دستگاه آلوده قابل مشاهده نیست!!!

قابلیت های بدافزار Lemon Duck:

  • ماینرهای XMR را برای ارزهای دیجیتال ارائه می دهد.
  • از تکنیک آلوده کردن بدون فایل(Fileless infection) استفاده می کند.
  • اطلاعاتی مانند نام کامپیوتر، UUID ماشین، آدرس MAC و آدرس IP و غیره دزدیده شده و به سرور C&C (Command & Control) ارسال می شود.
  • اصلاح تنظیمات فایروال ویندوز برای باز کردن پورت 65529/TCP در ماشین‌های در معرض خطر.
  • نسخه های 32 و 64 بیتی کامپوننت DLL مخرب بدافزار Lemon Duck در درایوهای با قابلیت جابجایی(removable drives) و همچنین در درایوهای شبکه قرار داده می شود.
  • برای اجرای کد بدافزار Lemon Duck در هنگام راه اندازی مجدد(LNK)، کد جاوا اسکریپت مخرب بدافزار در پوشه راه اندازی(startup folder) قرار می گیرد.
  • کدهای PowerShell از راه دور و با استفاده از WMI اجرا می شوند.

  • ابزارهای منبع باز مانند PowerDump، freerdp و Mimikatz برای انجام اقدامات مختلف استفاده می شوند.
  • یک ماژول ردیابی C2 که مشخصات دستگاه و وضعیت هر ماژول اجرا شده را به سرور C2 گزارش می دهد، نصب می گردد. همچنین مانیتورینگ مستمر دیگری که شامل جزئیات استفاده از ماژول C2 در مورد حساب‌های کاربری در معرض خطر و پیکربندی ماشین و… است نیز ارسال می‌شود.
  • در فواصل زمانی منظم کپی های تازه ای از اسکریپت های مخرب با استفاده از مکانیسم Windows Scheduled Tasks دانلود می شوند.
  • زنجیره حمله بدافزار Lemon Duck:

  • جزئیات در مورد بدافزار Lemon Duck (آلودگی سیستم ویندوز قدیمی با استفاده از EternalBlue***)

چگونه از نصب بدافزار جلوگیری کنیم؟

به کاربر توصیه می شود ایمیل های مشکوک به خصوص ایمیل هایی که از آدرس های ناشناس یا فرستنده های مشکوک دریافت می شوند را باز نکند. پیوست‌ها، پیوندها و پیام‌های نامشخص هرگز نباید باز شوند، زیرا باز کردن آنها می‌تواند منجر به آلوده شدن سیستم می شود.

تنها باید از کانال های رسمی و تایید شده دانلود انجام شود. محصولات و ابزارهای ارائه شده توسط توسعه دهندگان قانونی و رسمی باید همیشه فعال و به روز نگه داشته شوند. فعال‌سازی و به‌روزرسانی‌ ابزارهای شخص ثالث که غیرقانونی هستند، نباید انجام شود، زیرا برای توزیع بدافزار مورد استفاده قرار می‌گیرند.

برای اطمینان از یکپارچگی دستگاه و ایمنی کاربران، نصب یک مجموعه معتبر آنتی ویروس/ضد جاسوس افزار بسیار مهم است. این نرم‌افزار باید همیشه به‌روز نگه داشته شود و از آن برای اجرای اسکن‌های منظم سیستم، برای حذف همه تهدیدات شناسایی شده/بالقوه استفاده شود.

اگر سیستم قبلاً آلوده شده است، اجرای اسکن با آنتی ویروس Combo Cleaner برای حذف خودکار بدافزارهای نفوذ شده توسط ویندوز توصیه می شود.

***EternalBlue یک حمله سایبری است که توسط آژانس امنیت ملی ایالات متحده (NSA) توسعه یافته است. این مورد توسط گروه هکر Shadow Brokers در 14 آوریل 2017، یک ماه پس از انتشار وصله های مایکروسافت برای این آسیب پذیری، فاش شد.

منبع:  Cyber Hat Solutions Pvt Ltd

 cyberhatsolutions.com

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *