Тот случай, когда даже полное отключение PowerShell не поможет избежать атаки.
Исследователи компании NetbyteSec обнаружили новый виток активности вредоносной программы LemonDuck, которая использует уязвимость EternalBlue ( CVE-2017-0144 ) для атак на Windows-серверы. Этот зловредный софт особенно опасен тем, что успешно обходит защитные механизмы и скрывает свою активность, используя ряд сложных методов маскировки.
По данным специалистов, LemonDuck проникает в системы через SMB-протокол, изменяет правила брандмауэра и запускает свои скрипты, оставаясь незаметным для большинства антивирусных решений.
Алгоритм успешной атаки выглядит следующим образом: сначала злоумышленники создают скрытую административную папку на сервере и запускают вредоносный скрипт «p.bat». Этот скрипт выполняет несколько опасных манипуляций: изменяет настройки брандмауэра, открывает TCP-порты и настраивает проброс портов, что позволяет скрывать выходящий трафик под видом DNS-запросов.
Вредоносная программа маскирует свою активность, например, создаёт исполняемый файл под видом «svchost.exe», который отключает защиту Windows Defender, добавляет исключения для системы сканирования и удаляет следы своей работы. Всё это позволяет злоумышленникам продолжать атаковать систему, избегая обнаружения.
Для дальнейшего продвижения атаки LemonDuck использует брутфорс, подбирая учётные данные администратора. После успешного проникновения вредоносный код устанавливает скрипты для загрузки и выполнения дополнительных зловредных файлов, что может включать в себя кражу учётных данных через Mimikatz, а также перемещение по сети с целью дальнейшего распространения.
Особое внимание стоит уделить тому, что LemonDuck использует PowerShell для загрузки дополнительных файлов и создания новых задач в планировщике. Если же PowerShell отсутствует, зловред пытается манипулировать системным планировщиком, заменяя существующие задачи на свои собственные. Эти задачи активируют вредоносные скрипты каждые 50 минут, обеспечивая постоянство вредоносной программы в системе.
Кроме того, LemonDuck активно закрывает доступ другим возможным злоумышленникам, удаляя созданную ранее административную папку и продолжая управление сервером через свои собственные механизмы.
Эксперты NetbyteSec выявили, что вариант LemonDuck под названием «msInstall.exe» использует списки пользователей и паролей для доступа к системам, а затем эксплуатирует EternalBlue для повышения привилегий до уровня SYSTEM. После этого зловред модифицирует правила брандмауэра, создаёт новые задачи и загружает дополнительные скрипты, что делает его крайне устойчивым к обнаружению и удалению.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале