根据Microsoft 365 Defender Threat Intelligence团队的说法，LemonDuck已经从Monero cryptominer演变为LemonCat，这是一种专门从事后门安装、盗窃凭证和数据以及恶意软件交付的特洛伊木马。该团队在Microsoft安全博客上发表了一篇分为[1]、[2]两个部分的文章，其中解释了他们的发现。

LemonDuck

Trojan.LemonDuck是一种先进的加密矿工，正在积极更新新的漏洞利用和混淆技巧，它的目标是通过其无文件矿工来逃避检测。LemonDuck对企业的威胁还在于它是一种跨平台威胁。它是为数不多的针对Linux系统和Windows设备的有文档记录在案的bot系列之一。Trojan.LemonDuck使用多种方法进行初始感染和跨网络传播：

◼Malspam：电子邮件通常包含两个文件，一个利用CVE-2017-8570的Word文档和一个带有恶意JavaScript的zip存档。

◼服务器消息块（SMB）漏洞：Trojan.LemonDuck利用EternalBlue和SMBGhost漏洞来破坏主机并传播到网络中的其他计算机。

◼RDP暴力破解：Trojan.LemonDuck的RDP模块扫描端口3389上侦听的服务器，并尝试从密码列表中以用户“管理员”身份登录。

◼SSH暴力破解：Trojan.LemonDuck扫描侦在端口22上侦听的计算机，并使用密码列表和“root”用户名执行暴力攻击。

◼LNK漏洞：通过包含恶意.LNK文件的USB可移动驱动器利用漏洞CVE-2017-8464。

◼ProxyLogon：一种针对Exchange服务器的漏洞利用，允许未经身份验证的攻击者在易受攻击的服务器上执行任意命令。

LemonDuck不仅限于新的或流行的漏洞。它继续利用一些传统的漏洞，当重点转移到修补流行漏洞而不是调查妥协时，这有时会使攻击者受益。值得注意的是，LemonDuck通过清除竞争性恶意软件并通过修补用于获取访问权限的相同漏洞来防止任何新感染，从而将其他攻击者从受感染设备中移除。

历史

关于LemonDuck的最早记录来自其2019年5月的加密货币活动。它以其在一个PowerShell脚本中使用的变量“Lemon_Duck”命名，该脚本使用了计划任务启动的其他脚本。该任务用于引入PCASTLE工具以实现以下几个目标：滥用EternalBlue SMB漏洞，以及使用暴力或传递哈希横向移动并再次开始操作。今天，在LemonDuck的活动中仍然可以观察到许多这样的行为。

进化

2021年，LemonDuck活动开始使用更多样化的命令和控制（C2）基础设施和工具。此更新支持手动入侵后参与的显着增加，这取决于受感染设备对攻击者的感知价值。这并不意味着它停止使用基于防弹托管服务提供商的旧基础设施，即使它们被报告有恶意行为，它们也不太可能使LemonDuck基础设施的任何部分脱机。这使得LemonDuck能够持续存在并继续构成威胁。

LemonCat

LemonCat的名字来源于LemonDuck于2021年1月开始使用的两个带有“cat”一词的域（sqlnetcat[.]com、netcatkit[.]com）。包含这些域的基础结构被用于攻击Microsoft Exchange Server中的漏洞。这些攻击通常会导致后门安装、凭据和数据被盗以及恶意软件传播。大家经常看到它传播恶意软件Ramnit。

一旦进入带有Outlook邮箱的系统，LemonDuck就会尝试运行一个利用设备上存在的凭据的脚本。该脚本指示邮箱向所有联系人发送带有预设邮件和附件的网络钓鱼邮件副本。这绕过了许多电子邮件安全策略，例如那些放弃扫描内部邮件或确定电子邮件是否来自可疑或未知发件人的策略。发送电子邮件后，恶意软件会删除此类活动的所有痕迹，使用户觉得好像什么都没有发送过。这种自我传播方法会在任何具有邮箱的受影响设备上尝试，无论它是否是Exchange服务器。

人工和自动渗透

自动感染，如来自恶意垃圾邮件的感染，会启动一个PowerShell脚本，从C&C服务器中提取额外的脚本。一旦病毒获得持久性，它的第一步是禁用或删除一系列安全产品，如Microsoft Defender for Endpoint、Eset、Kaspersky、Avast、Norton Security和Malwarebytes。他们还尝试卸载名称中带有“Security”和“AntiVirus”的任何产品。

从这里开始，根据目标吸引力的不用，方法也有所不同。LemonDuck利用了大量的免费和开源渗透测试工具。LemonDuck在安装时使用脚本，在安装后反复使用脚本扫描端口并执行网络侦察。然后它尝试登录到相邻设备以推送初始的LemonDuck执行脚本。在此横向移动组件中使用的另一个工具是捆绑的Mimikatz，它位于与“Cat”和“Duck”基础架构相关的mimi.dat文件中。此工具的功能是为了便于凭据盗窃以进行其他操作。感染脚本最常见的名称是IF.Bin。结合凭据盗窃，IF.Bin会删除额外的.BIN文件以利用常见的服务漏洞，例如CVE-2017-8464从而增加特权。

在安装过程中及之后，LemonDuck会不遗余力地从设备中删除所有其他僵尸网络、矿工和竞争对手的恶意软件。它通过一个名为KR.Bin的脚本来实现这一点。该脚本试图通过计划任务从数十个竞争对手的恶意软件中删除服务、网络连接和其他证据。它还关闭了著名的挖矿端口，并删除了流行的挖矿服务以保护系统资源，甚至还删除了它打算使用的挖矿服务，然后使用自己的配置重新安装它。

缓解

一些特定且更通用的缓解技术：

◼禁止在敏感端点上使用可移动存储设备或至少禁用自动运行。

◼确保您的系统已完全修补并受到保护，以防止针对SMB、SSH、RDP、SQL等流行服务的暴力攻击。

◼启用防篡改保护，以便恶意软件无法禁用或卸载您的反恶意软件。

◼不要禁用对潜在有害程序（PUP）的检测，因为一些反恶意软件将加密矿工分类为潜在有害程序。

◼阻止与已知恶意域和IP地址的连接。

◼查看基于允许的发件人地址的电子邮件扫描规则，因为此恶意软件可以使用受信任的发件人地址。

大家注意安全！

参考及来源：https://blog.malwarebytes.com/botnets/2021/07/lemonduck-no-longer-settles-for-breadcrumbs/