Home » Microsoft : ce malware Windows et Linux fait tout pour rester sur votre réseau

Microsoft : ce malware Windows et Linux fait tout pour rester sur votre réseau

by Nouvelles

Microsoft a poursuivi son analyse du malware LemonDuck, connu pour installer des crypto-mineurs dans les environnements d’entreprise. Cela explique pourquoi il vaut la peine de le supprimer de votre réseau.

Ce groupe, selon Microsoft, dispose d’un arsenal bien fourni d’outils de piratage, d’astuces et d’exploits visant une seule chose : que leurs logiciels malveillants conservent un accès exclusif à un réseau compromis aussi longtemps que possible.

Bien que les logiciels malveillants de crypto-minage puissent être simplement une nuisance, les attributs de LemonDuck suggèrent que le groupe d’attaquants essaie vraiment de s’approprier les réseaux compromis en désactivant les logiciels malveillants, en supprimant les logiciels malveillants concurrents et même en corrigeant automatiquement les vulnérabilités – un effort concurrentiel pour empêcher les attaquants rivaux de se nourrir hors de son territoire.

« Cela leur permet de limiter la visibilité de l’attaque à [security operations center] analystes au sein d’une organisation qui pourraient donner la priorité aux appareils non corrigés pour enquête, ou qui ignoreraient les appareils qui ne contiennent pas un volume élevé de logiciels malveillants », Microsoft expliqué dans une analyse de suivi de LemonDuck à celui qu’il a publié précédemment.

Les exploits critiques appelés ProxyLogon Microsoft Exchange Server de mars et avril ont été traités de cette manière par les attaquants de LemonDuck. Ils ont utilisé les bogues pour installer des shells Web sur les serveurs Exchange pour un accès à distance aux systèmes non corrigés et pour installer des logiciels malveillants LemonDuck supplémentaires. Dans certains cas, les attaquants de LemonDuck ont ​​utilisé des copies renommées de l’outil d’atténuation sur site de Microsoft Exchange (publié par Microsoft le 15 mars) pour corriger le bogue qu’ils avaient utilisé pour accéder en premier lieu, selon Microsoft.

“Ils l’ont fait tout en maintenant un accès complet aux appareils compromis et en empêchant les autres acteurs d’abuser des mêmes vulnérabilités Exchange”, ajoute-t-il.

Ils utilisent également des logiciels malveillants sans fichier qui s’exécutent en mémoire et en injection de processus, ce qui rend plus difficile la suppression d’un environnement.

La description par Microsoft des techniques et des outils de LemonDuck suggère que le groupe a fait beaucoup d’efforts pour être difficile à lancer un réseau tout en utilisant plusieurs méthodes pour prendre pied, y compris les exploits, les attaques de devinette de mot de passe et les exploits contre SSH, MSSQL, SMB, Exchange, RDP , REDIS et Hadoop YARN pour les systèmes Linux et Windows.

L’entrée automatisée de LemonDuck s’appuie sur un petit fichier avec JavaScript pour lancer un processus PowerShell CMD qui lance le Bloc-notes et le script PowerShell à l’intérieur du JavaScript.

L’entrée manuelle inclut les attaques de mot de passe par force brute RDP ou les bogues Exchange. Les acteurs humains génèrent des tâches et des scripts planifiés pour créer une persistance sans fichier en réexécutant le script de téléchargement PowerShell pour intégrer l’infrastructure de commande et de contrôle (C2). Il s’agit de réactiver tous les composants malveillants qui ont été désactivés ou supprimés. N’oubliez pas que les shells Web persistent sur un système même après avoir été corrigés.

Pour rendre la persistance plus résiliente, ils hébergent des scripts sur plusieurs sites (ce qui rend difficile la suppression) et, en guise de sauvegarde, utilisent également Consommateurs d’événements WMI, ou un arsenal d’outils qui comprend l’accès RDP, les shells Web Exchange, Screen Connect et les outils d’accès à distance (RAT).

LemonDuck tente de désactiver automatiquement la surveillance en temps réel de Microsoft Defender for Endpoint basée sur le cloud en ajoutant l’intégralité du lecteur C: à la liste d’exclusion de Microsoft Defender. La « protection contre les falsifications » de Windows 10 devrait empêcher ces actions.

Les autres fournisseurs ciblés par les activités de suppression des logiciels malveillants de LemonDuck incluent ESET, Kaspersky, Avast, Norton Security et MalwareBytes.

Une fois à l’intérieur d’un réseau, l’un des outils de LemonDuck essaie d’évaluer si un appareil compromis exécute Outlook. Si tel est le cas, il analyse la boîte aux lettres à la recherche de contacts et commence à diffuser des logiciels malveillants dans les e-mails avec des fichiers .zip, .js ou .doc/.rtf joints.

“Les attaquants ont également été observés en train de rentrer manuellement dans un environnement, en particulier dans les cas où les vulnérabilités de périphérie ont été utilisées comme vecteur d’entrée initial”, explique Microsoft.

« Les attaquants corrigent également la vulnérabilité qu’ils utilisaient pour entrer sur le réseau afin d’empêcher d’autres attaquants d’y entrer. Comme mentionné, les attaquants ont été vus en train d’utiliser une copie d’un outil d’atténuation fourni par Microsoft pour la vulnérabilité Exchange ProxyLogon, qu’ils ont hébergé sur leur infrastructure, pour s’assurer que d’autres attaquants n’obtiennent pas l’accès au shell Web comme ils l’avaient fait.”

En d’autres termes, LemonDuck ne déploie peut-être que des crypto-mineurs qui drainent les ressources du processeur, mais la durée pendant laquelle ils restent sur un réseau les met sous un jour différent de celui d’une simple nuisance. Cela pourrait valoir la peine pour les équipes de sécurité de revoir les conseils de Microsoft vers la fin de son analyse pour traquer les menaces et les outils LemonDuck sur un réseau car une fois que LemonDuck est à bord, il ne veut vraiment plus partir.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.