Lemon Duck: Mã độc sử dụng PowerShell khai thác lỗ hổng SMB

World Star International JSC - WSI

THÔNG TIN CHUNG:

Lemon Duck được phát hiện vào ngày 22 tháng 11 năm 2019 bởi các chuyên gia bảo mật tại ASEC – Trung tâm Ứng phó khẩn cấp bảo mật của AhnLab (AhnLab Security Emergency-response Center). Cái tên Lemon Duck bắt nguồn từ việc nó có chứa đoạn mã “Lemon-Duck-{random}-{random},”. Được tìm thấy chủ yếu tại Trung Quốc, Lemon Duck lây lan và phát tán tới các nước Đông Á khác, trong đó có Hàn Quốc, vào nửa sau của năm 2019.

Lemon Duck thuộc loại mã độc không dùng tệp, lợi dụng PowerShell để thực thi các hành vi tấn công độc hại. Lemon Duck lây lan ngang hàng tới các máy tính khác trong cùng hệ thống bằng cách khai thác lỗ hổng EternalBlue(MS17-010), đây cũng chính là lỗ hổng SMB đã được khai thác bởi mã độc tống tiền (ransomware) khét tiếng WannaCry vào năm 2017.

lemon-duck-Ahnlab-World Star International JSC

Lemon Duck – mã độc sử dụng PowerShell khai thác lỗ hổng SMB (Ảnh minh họa có nguồn)

NGUYÊN LÝ XÂM NHẬP:

Các chuyên viên phân tích tại ASEC đã phát hiện ra sự phát tán của mã độc PowerShell tên gọi Lemon Duck. Mã độc này thực hiện các hành vi tấn công thông qua một tiến trình nhiều lớp, trong đó nhiều lần lợi dụng các lệnh PowerShell. Sau khi xâm nhập hệ thống, Lemon Duck lây lan sang các máy tính trong cùng mạng nội bộ bằng cách khai thác lỗ hổng SMB (EternalBlue – MS17-010) và tấn công brute force RDP.

Nguyên lý tấn công - Lemon Duck - World Star International JSC

Hình 1: Tổng hợp kill-chain của Lemon Duck

Nguyên lý tấn công - Lemon Duck - World Star International JSC

Bảng 1: Các thông tin URL có liên quan tới từng mã độc trong tiến trình tấn công.

PHƯƠNG THỨC TẤN CÔNG:

  • Qua USB và mạng, khai thác lỗ hổng LNK (CVE-2017-8464).
  • Tạo tệp trong Windows Startup và AppData.
  • Khai thác lỗ hổng EternalBlue SMB và đăng ký dịch vụ.
  • Mimikatz module và tấn công Pass the Hash.
  • Tấn công brute force RDP.
  • Đánh cắp thông tin người dùng.

Report chi tiết về Nguyên lý xâm nhập và tấn công của Lemon Duck.

Giải pháp AhnLab V3 giúp phát hiện các tệp có liên quan tới script PowerShell được Mã độc Lemon Duck sử dụng.

KẾT LUẬN

Mã độc PowerShell với tên gọi Lemon Duck, khai thác lỗ hổng SMB nổi tiếng EternalBlue (MS17-010) gần đây đã lây lan ở Hàn Quốc. Các tấn công khai thác lỗ hổng SMB đã tăng về số lượng trong năm vừa qua, bất chấp những nỗ lực của các nhà cung cấp giải pháp bảo mật, ví dụ như AhnLab.

Mấu chốt của việc phòng chống nằm ở cập nhật các bản vá bảo mật mới nhất cho toàn bộ hệ thống. Theo đó, AhnLab đã cung cấp giải pháp quản lý các bản vá AhnLab Patch Management, dựa trên AhnLab EPP (Endpoint Security Platform) để dễ dàng cập nhật, quản lý các bản vá bảo mật, xử lý hiệu quả các lỗ hổng SMB.

Các mã độc PowerShell không dùng tệp giống như Lemon Duck đang phát triển rất mạnh. Vấn đề cấp thiết là phát hiện các loại phần mềm độc hại này bằng cách sử dụng phân tích dựa trên hành vi thay vì dựa trên chữ ký. Do đó, chúng tôi khuyên bạn nên luôn luôn kích hoạt tính năng Phát hiện hành vi để có thể phản ứng nhanh và hiệu quả nhất.

(Theo AhnLab Security Emergency-response Center – ASEC)

This post is available in: viTiếng Việt enEnglish