股票代码:688225
Menu

产(chǎn)品全景图 >

云安(ān)全
终端安(ān)全
数据安(ān)全
身份安(ān)全
高级威胁治理(lǐ)
网络与通信安(ān)全
安(ān)全管理(lǐ)
SaaS服務(wù)
一體(tǐ)化智能(néng)安(ān)全运营平台
网络管理(lǐ)
信息技(jì )术应用(yòng)创新(xīn)
工(gōng)业安(ān)全

安(ān)全服務(wù) >

安(ān)全运营 >

云安(ān)全
信舱云主机安(ān)全DeepSecurity
信帆云原生容器安(ān)全CNAPP
信池云安(ān)全资源池SDSEC
终端安(ān)全
信界安(ān)全工(gōng)作(zuò)空间【Trust Work Space】
新(xīn)一代终端安(ān)全TrustOne
数据安(ān)全
信数数据安(ān)全运营平台【AISDSOP】
信数数据分(fēn)类分(fēn)级系统【AISDC】
信数数据库审计系统【AISDBA】
信数数据脱敏系统【AISDM】
信数数据库防火墙【AISDBFW】
信数数据库访问控制【AISDBAC】
信数多(duō)方计算平台【AISMPC】
信数应用(yòng)安(ān)全审计系统【AISAPI】
信数数据防泄漏系统【AISNDLP】
信数数据水印溯源系统【AISDWM】
信数数据库加密系统【AISDBE】
身份安(ān)全
信磐统一身份认证与访问管理(lǐ)系统【AISIAM】
信磐堡垒机【AISIFORT】
高级威胁治理(lǐ)
信桅高级威胁监测系统【TDA】
信桅高级威胁分(fēn)析系统【DDAN】
信桅高级威胁邮件防护系统【DDEI】
信池统一安(ān)全管理(lǐ)平台【LinkOne】
信桅蜜罐系统【AISBIG】
网络与通信安(ān)全
信舷防毒墙系统【AISEDGE】
信舷防火墙系统【AISFW】
信舷WEB应用(yòng)防火墙系统【AISWAF】
信舷网络威胁入侵防护系统【AISTPS】
信舷上网行為(wèi)审计系统【AISACG】
信磐互联网接入认证系统【AISOBS】
集中(zhōng)IPoE接入认证系统【AISDHCP】
DNS全业務(wù)域名(míng)解析系统【AISDNS】
域名(míng)服務(wù)和地址分(fēn)配及管理(lǐ)系统【AIDDI】
信舷安(ān)全隔离与信息交换系统【AISIES】
信舷网页(yè)防篡改系统【AISWD】
信舷抗拒绝服務(wù)系统【AISADS】
5G全流量安(ān)全检测与响应系统【AIS5GNDR】
大模型安(ān)全网关【AISLFW】
信桨网络流量审计分(fēn)析系统【SpiderFlow】
安(ān)全管理(lǐ)
日志(zhì)审计分(fēn)析系统【AIRDS】
漏洞扫描系统【SpiderScan】
安(ān)全数据中(zhōng)心【AISSDC】
SaaS服務(wù)
天穹共享免疫SaaS系统【ImmunityOne】
一體(tǐ)化智能(néng)安(ān)全运营平台
信舵安(ān)全管理(lǐ)与分(fēn)析平台【MAXS】
网络管理(lǐ)
故障管理(lǐ)系统【AISFMS】
算网融合管理(lǐ)系统【AISCNCMP】
综合终端管理(lǐ)系统 【AISITMS】
智能(néng)网管系统【AISIPOSS】
信息技(jì )术应用(yòng)创新(xīn)
信创DHCP系统
信创DNS全业務(wù)域名(míng)解析系统
信创AAA系统
信创零信任访问控制系统
信创统一帐号认证授权平台
信创防毒墙系统
信创高级威胁监测系统
信创WEB应用(yòng)防火墙系统
信创防火墙系统
工(gōng)业安(ān)全
信桨工(gōng)控防火墙【ICFireWall】
信桨工(gōng)业流量审计分(fēn)析系统【ICFlow】
信桨工(gōng)业主机安(ān)全加固【ICHost】
信桨工(gōng)业安(ān)全管理(lǐ)平台【ICSMP】
信桨工(gōng)业安(ān)全隔离与信息交换系统 【ICGAP】
信桨工(gōng)业运维安(ān)全管理(lǐ)与审计系统【ICOPS】
信桨工(gōng)控等保检查工(gōng)具(jù)箱【ICSI】
安(ān)全运营
MSS托管安(ān)全运营服務(wù)
热点推荐
<
|
>
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告

安(ān)全通告

【安(ān)全通告】警惕!LemonDuck新(xīn)变种将魔掌伸向Mac
发布时间 :2021年03月23日
分(fēn)享:

安(ān)全通告

近日,亚信安(ān)全发现此前持续追踪报道的“LemonDuck”出现最新(xīn)变种,疑似启用(yòng)新(xīn)分(fēn)支或是攻击套件被其他(tā)组织借用(yòng)(以下简称:LemonDuck)。安(ān)全研究人员对此变种进行了深入分(fēn)析,发现其新(xīn)增了针对Weblogic CVE-2020-14882的漏洞利用(yòng)模块,在Linux端的攻击方法疑似借鉴了Outlaw黑客组织攻击套件。两者的目录结构与调度流程高度相似,不仅会配置免密登录后门,还会安(ān)装(zhuāng)IRC Botnet木(mù)马。此外,在其工(gōng)具(jù)包中(zhōng)发现存在Macos挖矿组件,从分(fēn)析结果推断LemonDuck开始将目光投向了Mac这一平台。目前,LemonDuck在Linux端覆盖度尚未完善,Mac端尚未发现其传播模块,下一步可(kě)能(néng)会完善Windows/Mac/Linux三平台挖矿,进而打造一个三平台交叉感染的僵尸网络。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbEoyj70g1HicIenKTf77AJ7433TXaC2PXoMIeWRO6ndFhrNBPKAMFWtIB3QtYjiciawJvlCeLHF9v3vg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


攻击流程

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaDfoprE1XSjqIvQC1wVeyibPHjHzr4QtDG2wxwV5mrWe6ibKqMGaEia8Xg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

病毒详细分(fēn)析



此变种攻击流程与原LemonDuck方法完全一致,但相较而言,之前版本的LemonDuck至少进行4层加密,而此版本仅进行了1~3次加密。如下為(wèi)此变种所使用(yòng)的域名(míng)。
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJalzjcKh9f0n1thibxoTxyObz4JtnE6Tjy5OOicYwW2FgmyPbtr4jhPwkA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
在其PowerShell版本的横向传播模块中(zhōng)新(xīn)增了logicexec方法,此方法封装(zhuāng)了针对Weblogic CVE-2020-14882的漏洞利用(yòng)模块,该模块一旦被成功利用(yòng),其具(jù)备感染Windows/Mac/Linux三个平台的能(néng)力。
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaU4cfh9VRDhlo5AhqibD2E5mMQHES7jKkktFByh6fBcWLFB65s30ZIIg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
此外,研究人员发现其关于MS17-010漏洞攻击Shellcode与LNK快捷方式利用(yòng)的payload也进行了更新(xīn),此前LNK快捷方式使用(yòng)的payload是一段base64加密的PE文(wén)件数据,目前替换為(wèi)base64加密的vb代码,并使用(yòng)mshta调用(yòng)。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaylhagz5q9KPfsecNByqnWdmLjA1gLY1buA75Y0pibHnyTcZHQRib8IVQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

而在针对Python打包的EXE进行对比分(fēn)析发现,其除了回传地址发生改变之外,作(zuò)為(wèi)已感染机器标识的TCP端口从65529改為(wèi)55529,但在PowerShell感染后执行的逻辑中(zhōng)并未更改其开放TCP 65529标识。此外,目前C&C站点上的Python打包的EXE经确认感染了PE_RAMNIT病毒,疑似恶意作(zuò)者开发环境感染PE_RAMNIT病毒。 


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJavM7XsEPGOFzwpSHhzibKzOibYXa7RxVI7plkV3kibH0tgx9cp9ia80PPicw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJa5kOCDBctRNibjYVdxMXE8lzUKoibnIs5lDyicD5BO2TicVtOnGVOPRBVcQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
在分(fēn)析Linux端组件时发现,其会下载hxxp[:]//down[.]sqlnetcat[.]com/dota3.tar.gz组件。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaOMr40NvTUvduX9OAFibLU1A8B01M7iba8m3TUPf4mkzjEB9JPE31ncPw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
此攻击组件与Outlaw黑客组织所使用(yòng)的攻击套件包名(míng)、结构和流程类似,其对比如下:


https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJa5icMeT4Cg9KUwElzKodWraLQEDpEoLSKorbelCnYE1ZFiasm0wCZt3JQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

此攻击组件在执行时首先会使用(yòng)开源脚本结束竞争对手。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaTDrgkldeUaUkRR4cSc81eeb6Tdia38EicEoaIGJmwruMNIu0WsSNxRjA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

然后,判断CPU架构,如果是i686架构则执行anacron,但anacron模块并不存在,安(ān)全研究人员推测当前其挖矿平台覆盖度尚未完善。如果是 x86_64结构,则运行wanwakuang与macosx,其中(zhōng)macosx是一个Mach-O格式的文(wén)件,此格式是一个Mac系统下的可(kě)执行文(wén)件格式。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaj20M21KBnt0mvHIjibYibc7nBEc7A0jcZn6eMMLWaedWxx522KiaBUSFg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

这两个门罗币矿机程序是基于同一套开源XMR矿机代码编译的。

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaYerE7EoGXavKeib29ZeQrZHA0uMQXw3n2PU6Lyl6IERiaFRtSfKsx9AQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaAVQ8BPY9dfMBdcNNq3ZSxjibNHIPYxiboRd5Iwwic8Vv9fDibficvo6w3Vg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


虽然Mac Shell和Linux Shell部分(fēn)命令有(yǒu)區(qū)别,但此攻击套件挖矿部分(fēn)Shell在Mac系统上基本可(kě)以正常执行,且挖矿程序可(kě)以正常工(gōng)作(zuò)。
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaeZTmWgteSIAGIibIrmdDKBo5UkOE6PGf4a3YRns8LdjQVa2WQL3dpXQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1
之后其将会执行/.rsync/b/run,此脚本主要分(fēn)為(wèi)两个部分(fēn),第一部分(fēn)解码后為(wèi)Perl编写的IRC Botnet木(mù)马,第二部分(fēn)负责篡改authorized_keys文(wén)件配置免密登录。
https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaMsHncwB38hKB8RIBgo7HZ8pY8tdRmAVRBDZhDyPiaiaYHNCaRssbJn6Q/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

亚信安(ān)全产(chǎn)品解决方案
  • 亚信安(ān)全病毒码版本16.599.60,云病毒码版本16.599.71,全球码版本16.599.00 已经可(kě)以检测,请用(yòng)户及时升级病毒码版本。
  • 亚信安(ān)全OSCE VP / DS DPI开启以下规则拦截该漏洞: 
    1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
    1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)
    1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
    1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
    1008585 - Microsoft Windows LNK Remote Code Execution Over SMB (CVE-2017-8464)
    1008623-Microsoft Office Remote Code Execution Vulnerability (CVE-2017-8570)
    1009749 - Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability (CVE-2019-0708)
    1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)
  • 亚信安(ān)全深度发现设备TDA 检测规则如下:
    2383: CVE-2017-0144-Remote Code Execution-SMB(Request)

  • 亚信安(ān)全AIS Edge已发布针对 CVE-2017-0144漏洞的4条规则:

    名(míng)称:微软MS17 010 SMB遠(yuǎn)程代码执行1-4,规则号:1133635,1133636,1133637,1133638

  • https://mmbiz.qpic.cn/mmbiz_png/iczzp36h0nbHz3lH5eDQF1ugzaR9MGVJaLseIJG6oLpTJHV77S5e4MMQx7sYyMa5Q4F6f9xIGr8I8tvxhdhncHg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1


上一篇:多(duō)款勒索软件同时爆发引关注,知名(míng)挖矿病毒新(xīn)变种魔掌已伸向Mac【亚信安(ān)全网安(ān)周报】

下一篇:亚信安(ān)全:“数据湖(hú)”已成為(wèi)威胁情报发展的“核动力”

返回列表
分(fēn)享到微信
X