“LemonDuck”,又名“驱动人生挖矿木马”、“永恒之蓝下载器”、“蓝茶行动”、“黑球行动”,是一种主动更新且强大的恶意软件,主要以其僵尸网络和加密货币挖掘(XMR门罗币)而闻名。现在,LemonDuck的活动除了传统的bot和挖矿之外,还会窃取凭据、移除安全控制、通过电子邮件传播、横向移动,并最终下发更多的恶意工具。
微步情报局近期捕获到多起Zegost变种木马以及伴随的挖矿攻击活动,经过确认,为“LemonDuck”木马的新活动,分析有如下发现:
-
攻击者依旧使用钓鱼邮件、漏洞利用和USB等移动设备等三种传播方式,在内嵌的母体文件运行获取权限后,通过模块下载进行内网横移,进行大范围扩散传播; -
该团伙目前仍十分活跃,近期微步情报局监测到该组织更新了多个模块,包括Zegost变种木马、ClipBanker信息窃取器和挖矿程序等; -
通过监控发现,LemonDuck团伙目前已不仅仅局限于构建僵尸网络及挖矿盈利,还增加了信息窃取,发展肉鸡和盗窃钱包等多个恶意行为; -
域名注册商大部分为Epik等海外服务商进行模块托管下载且隐藏所有的注册信息,避免被溯源到组织信息; -
微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
根据我们对LemonDuck的长期跟踪及关联分析,发现当前该组织是跨平台跨行业多维度进行攻击,危害范围广,详情如下表:
|
团伙画像 |
|
|
特点 |
描述 |
|
平台 |
Windows、Linux |
|
攻击目标 |
制造业、政府、能源、科研教育、IOT厂商 |
|
攻击地区 |
前期主要针对中国 其他国家和地区:美国、俄罗斯、德国、英国、印度、韩国、加拿大、法国和越南 |
|
攻击目的 |
挖矿、植入后门窃密获取利益 |
|
攻击向量 |
暴力破解/钓鱼邮件/漏洞(详见附录) |
|
武器库 |
Zegost、ClipBanker、XMRig、Mimikatz、PowerDump、freerdp |
该团伙系列木马的重大迭代更新:
从上述团伙画像和使用木马的版本迭代来看,LemonDuck背后的团伙至少从2018年活跃至今,具备构造僵尸网络、木马开发能力,多平台攻击能力(Windows、Linux)。通过对该团伙使用的武器库进行分析,发现其大量使用开源模块:XMRig、ReflectivePEInjection、FreeRDP、GetPassHashes、SMBGhost等开源项目,使其开发、攻击成本更低。若其感染成功,组建僵尸网络,将形成利用僵尸网络发起大规模DDoS攻击和下载各种威胁木马的隐患。
本次捕获的LemonDuck攻击新活动中,新增模块及功能如下:
|
模块名 |
功能 |
|
Java.exe |
类Zegost木马,实现后门功能 |
|
9b.exe |
ClipBanker窃密木马,窃取用户虚拟货币 |
|
we32/64.exe |
释放NSSM服务注册器和挖矿程序 |
样本行为特点分析如下:
-
提供XMR 矿工来挖掘加密货币;
-
窃取计算机名、机器UUID、MAC地址、IP地址等信息并发送给C&C服务器;
-
修改Windows 防火墙设置在受感染计算机上打开端口 65329/TCP;
-
使用Powershell IEX混淆代码,试图绕过杀软;
-
利用Windows 计划任务机制定期下载恶意脚本的新副本;
-
下发Zegost、ClipBanker等后门木马执行各种操作。
3.1、初始访问
钓鱼邮件诱饵的附件通常是以下三种类型之一:.doc、.js 或包含 .js 文件的 .zip。无论是哪种类型,该文件都被命名为“Readme”。
微步情报局观察到的LemonDuck从活跃至今使用的诱饵文件名中可以发现,攻击者擅长使用现下热门的话题:
|
标题 |
正文 |
|
The Truth of COVID-19 |
Virus actually comes from United States of America |
|
COVID-19 nCov Special info WHO |
very important infomation for Covid-19 |
|
HALTH ADVISORY:CORONA VIRUS |
see attached document for your action and discretion |
|
WTF |
the outbreak of CORONA VIRUS is cause of concern especially where forign personal have recently arrived or will be arriving at various intt in near future |
|
What the fcuk |
what’s wrong with you?are you out of your mind!!!!! |
|
good bye |
are you out of your mind!!!!!what ‘s wrong with you? |
|
farewell letter |
good bye, keep in touch |
|
broken file |
file is brokened, i can’t open it |
|
This is your order? |
can you help me to fix the file,i can’t read it |
由于LemonDuck邮件传播方式,是使用脚本自动生成邮件进行多次迭代传播,所以其中的邮件标题和正文内容较为统一,不易改变,可根据邮件标题和正文进行重点检测。 图示自动化生成扩散邮件的脚本模块:
3.2、模块功能
LemonDuck 以往的攻击活动来说,大部分的攻击模块都是以混淆powershell脚本的模式下发的,我们捕捉到的模块共有17项,其通用文件名和功能附在末尾附录中。本处只针对发现的新模块进行分析:
新增模块1:Java.exe
该可执行程序伪装为正常的java应用,实际上为PEcompact打包的类Zegost木马文件。
经过脱壳后发现,核心payload为dll文件,运行开始时首先将自身移动到“%Programdata%”目录,并添加服务实现持久化,添加的服务名伪装为Java文件,并设置文件隐藏属性。
|
Service_path |
Service_name |
|
C:ProgramDatajava.exe |
Java(TM)Platform8 |
对抗杀毒软件,内置杀毒软件与对应进程名称部分列表如下:
当前期准备工作完成后,跟C2: e.0000o.xyz发起通信,接收C2返回的指令。后门部分功能如下:
新增模块2:9b.exe
该模块使用.net打包,经分析为ClipBanker窃密木马,主要恶意行为有:窃取浏览器历史记录、cookie、Outlook 数据、Skype、Telegram 或加密货币钱包帐户地址。本次分析的样本中,主要从用户的剪切板中查找并替换用户的虚拟货币钱包地址。
初始样本文件是个Dropper释放器,通过执行base64编码的powershell脚本释放payload,并实现持久化驻留。
|
释放路径 |
C:\ProgramData\AMD Driver\ Amdriver.exe |
|
注册表路径 |
SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
|
注册表名称 |
AMD Update Service |
释放的payload中,文件原始信息为:RedLine.Clipper.exe,主要监控用户剪切板,通过正则匹配发现虚拟货币钱包地址的话,则替换为攻击者自身的钱包。部分攻击者钱包地址如下:
|
钱包类型 |
钱包地址 |
|
Bitcoin |
bc1qz4vn93cyt7zgu9fzedjvvjvp5s6sr6u2rgmejv |
|
BSC |
0x8a979870DA461edd86C81e12005Db20eeE05DF59 |
|
Litecoin |
ltc1qxpfqju9wek527zxm8uypjrghv5m20zuhs4xc4z |
|
XMR |
41fJsmy8oQD9JnHe7gu8WXWDLSUpFfZdx556hqXeaLhjgJuh1MZaKZaRBnBbjFMg8EBofxsjMMxCaVwhEZhs36eMSgFarzo |
|
DASH |
XmeDLNVezW61MtLfncH63DopM4mHMDMJrv |
|
Dogecoin |
D7NsUEdtpT6Q5S8w7ygHUThgmWpZqsbmTe |
|
Bitcoin |
t1fPyNG184fXWvj7FNa2tuV9wq4u2q3aoDo |
我们查看其中一个Bitcoin钱包地址可以发现,攻击者目前已经窃取到了0.48个比特币,而攻击者窃取的钱包类型,多达11个,也算得上是一笔不小的收益了。
新增模块3:we32/64.exe
该模块实际上是个压缩包文件,通过解压后调用脚本执行两个PE可执行文件,将挖矿程序“Windowss.exe”注册为系统服务,保证挖矿活动能持久运行。
|
原始文件名 |
替换后的文件名 |
|
Spoolsvs.exe |
%windir%Spoolsv.exe |
|
Windowss.exe |
%windir%Taskngr.exe |
而Windowss.exe就是网络挖矿威胁中常见的xmr挖矿了,通过stratum协议向私有矿池地址:x.l0o01.com发起挖矿请求。
3.3、资产特点
LemonDuck其传播形式上是一种僵尸网络,通过其基础设施(下载站点)供受害主机下载恶意脚本进行传播,针对它的下载传播站点,可以大致区分为两部分:duck域名和cat域名。
|
基础设施 |
域名示例 |
特点 |
|
Duck |
t.zer2.com t.hwqloan.com t.amynx.com |
普遍使用,危害性广。主要执行内网入侵、传播,挖矿获取收益。 |
|
Cat |
t.netcatkit.com catkit.com down.sqlnetcat.com |
危害性高,主要出现与21年初,其域名结构中含有”cat”单词,该设施除了duck域的功能外,还会传播RAT、Backdoor等后门文件。 |
-
大部分为dga生成的域名结构,其三级子域名通常为[a-z]{1,3}字符,最常见的为[t、d、down]; -
域名服务商大部分为“Epik Inc.”,该服务提供商自称是“域名行业的瑞士银行”,以向具有极右翼内容的网站提供服务而闻名。所以即使被举报为恶意服务器,也很大可能不会脱机,继续提供恶意下载服务; -
顶级域名一般为.com、.net等价值较高的域名; -
在恶意域名的url上,因为LemonDuck的各个阶段都会回传受害机器信息,主要收集mac地址、杀软信息、感染版本、系统版本、用户名等信息并上传到服务器并下载新一轮的脚本,而其中的http请求中UA字段也包含了极具特点的“Lemon-Duck”字段。
URL特征:恶意域名+模块名称+BIT+GUID+MAC+OS+ID
|
http[:]//t.zer2[.]com/v.jsp?BIT=64&GUID=03000200-0400-0500-0006-000700080009&MAC=00:E0:4C:0C:AF:2A&OS=6.1.7601&_T=1572258245.73619&ipc_20190909?ID=PC-20190904FYAY |
 |
|
| 本次分析的域名 |
已知LemonDuck域名 |
2.在本次捕获的powershell样本中,从代码混淆手法、函数变量,代码结构上都几乎一致,差异在于以往的powershell代码经过了4次IEX混淆,而现在代码只经过了2次混淆。
 |
 |
| 本次分析样本 |
已知LemonDuck样本 |
3.通过分析其新增模块,我们注意到本次的攻击事件与以往的活动略有不同。在以往使用的挖矿模块中,大都使用powershell脚本反射式加载xmrig进行无文件挖矿,而本次使用的则是“NSSM“+”XMRig“可执行文件来执行挖矿活动。
可执行程序挖矿
图示反射式注入Miner
公众号内回复“LD”,可获取完整版(含IOC) PDF 版报告
– END –
微步情报局招聘通道
❖
沙箱安全开发(Windows、Linux方向) 戳我查看岗位详情
❖
高级应急响应工程师 戳我查看岗位详情
❖
高级渗透测试工程师 戳我查看岗位详情
内容转载与引用
原文始发于微信公众号(微步在线研究响应中心):“柠檬鸭”进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击
