コインマイナーが進化するとき、パート 2: LemonDuck と LemonCat の攻撃を追い詰める

[注: この 2 部構成のブログシリーズでは、最新のマルウェアインフラストラクチャを公開し、それが可能にするさまざまな脅威から保護するためのガイダンスを提供します。パート 1では、脅威の進化、拡散方法、組織への影響について説明しました。パート 2 では、攻撃者の行動について詳しく説明し、調査の手引きを概説します。]

LemonDuck は、主にボットネットと暗号通貨マイニングの目的で知られる、頻繁に更新される堅牢なマルウェアです。このブログシリーズのパート 1で説明したように、ここ数か月で LemonDuck はより洗練された動作を採用し、その操作をエスカレートさせました。今日、LemonDuck は、従来のボットやマイニングアクティビティにリソースを使用するだけでなく、認証情報を盗み、セキュリティコントロールを削除し、電子メールを介して拡散し、横方向に移動し、最終的に人間が操作するアクティビティ用のツールをさらにドロップします。

LemonDuck はさまざまな方法で拡散しますが、主な 2 つの方法は、(1) エッジによって開始されるか、組織内を横方向に移動するボットインプラントによって促進される侵害、または (2) ボットによって開始される電子メールキャンペーンです。インストール後、LemonDuck は通常、予測可能な一連の自動化されたアクティビティ、その後のビーコンチェックインと収益化動作、そして一部の環境では人間が操作するアクションによって識別されます。

このブログ投稿では、LemonDuck 感染に続く悪意のあるアクションの詳細な技術分析を共有します。これらには、一般的および自動的な動作、および人間が操作するアクションが含まれます。また、LemonDuck 攻撃を調査するためのガイダンスと、これらの攻撃に対する防御を強化するための緩和に関する推奨事項も提供します。

図 2. Duck および Cat インフラストラクチャからの LemonDuck 攻撃チェーン

Table of contents

外部または人間が初期化した動作
一般的な自動動作
横移動と権限昇格
競合の除去とホストへのパッチ適用
兵器化と継続的な影響
幅広いマルウェア操作に対する包括的な保護

外部または人間が初期化した動作

外部アプリケーションから開始された LemonDuck の活動は、悪意のあるフィッシングメールのような自己拡散手法とは対照的に、一般に、人間が操作する活動から始まるか、人間が操作する活動につながる可能性がはるかに高くなります。これらの活動は常に、バックドアを介して維持される永続的なアクセスと並行して、より侵襲的な二次マルウェアを配信する結果となります。これらの人間が操作する活動は、標準的な感染よりも大きな影響をもたらします。

2021 年 3 月と 4 月に、Microsoft Exchange Server エクスプロイトのProxyLogonセットに関連するさまざまな脆弱性が、LemonDuck によって利用され、Web シェルがインストールされ、古いシステムにアクセスされました。その後、攻撃者はこのアクセスを使用して追加の攻撃を開始し、自動の LemonDuck コンポーネントとマルウェアを展開しました。

場合によっては、LemonDuck の攻撃者は、公式の Microsoft Exchange On-Premises Mitigation Tool の名前を変更したコピーを使用して、アクセスを取得するために使用した脆弱性を修正しました。彼らは、侵害されたデバイスへの完全なアクセスを維持し、他の攻撃者が同じ Exchange の脆弱性を悪用するのを制限しながら、そうしました。

このセルフパッチ動作は、競合するマルウェアとリスクをデバイスから削除したいという攻撃者の一般的な欲求と一致しています。これにより、攻撃の可視性を組織内の SOC アナリストに制限することができます。SOC アナリストは、調査のためにパッチが適用されていないデバイスを優先している可能性があるか、大量のマルウェアが存在しないデバイスを見落としている可能性があります。

また、LemonDuck オペレータは多くのファイルレスマルウェア技術を利用しているため、修復がより困難になる可能性があります。レジストリ、スケジュールされたタスク、WMI、およびスタートアップフォルダーによる持続性を含むファイルレス技術により、ファイルシステムに安定したマルウェアが存在する必要がなくなります。これらの手法には、プロセスインジェクションとメモリ内実行の利用も含まれており、これにより削除が容易ではなくなります。したがって、過去に脆弱であった組織は、パッチ適用がどのように行われたか、および悪意のある活動が続いているかどうかを正確に調査するための行動を指示することが不可欠です。

実装の基本的な側面では、これはレジストリ、スケジュールされたタスク、WMI、およびスタートアップフォルダーの永続性を意味し、ファイルシステムに安定したマルウェアが存在する必要性を排除します。しかし、無料または簡単に入手できる多くの RAT やトロイの木馬は、プロセスインジェクションやインメモリ実行を日常的に利用して、簡単な削除を回避しています。この種の行動に対抗するには、組織内のセキュリティチームが、ウイルス対策ソリューションによるクリーンアップ後にマルウェアが引き続き存在する可能性があるオペレーティングシステムのすべての一般的な領域と領域を含めるように、インシデント対応とマルウェアの削除プロセスを確認することが不可欠です。

一般的な自動動作

最初の実行が自動的に開始される場合、または自己拡散メソッドから開始される場合、通常はReadme.jsというファイルから開始されます。この .js ファイルの目的は、C2 から追加のスクリプトをプルする PowerShell スクリプトを難読化して起動することであるため、この動作は時間の経過とともに変化する可能性があります。この JavaScript は CMD プロセスを起動し、その後メモ帳と JavaScript に含まれる PowerShell スクリプトを起動します。

対照的に、感染が RDP ブルートフォース、Exchange の脆弱性、またはその他の脆弱なエッジシステムで始まる場合、最初のいくつかのアクションは通常、人間が操作するか、 Readme.jsではなくハイジャックされたプロセスから発生します。この後、攻撃者が実行する次のいくつかのアクション (スケジュールされたタスクの作成、および個々のコンポーネントとスクリプトを含む) は一般的に同じです。

これらのアクションの 1 つは、最初の PowerShell ダウンロードスクリプトを再実行するスケジュールされたタスクを作成して、ファイルレスの永続性を確立することです。このスクリプトは、定期的に C2 からさまざまなコンポーネントを取得します。次に、スクリプトは、マルウェアの一部が削除されたかどうかを確認し、それらを再度有効にします。また、LemonDuck は、同じアクションを実行するために、WMI イベントコンシューマを通じてバックアップ永続化メカニズムを維持します。

スクリプトをホストするために、攻撃者は複数のホスティングサイトを使用します。また、各サイトを試すための複数のスケジュールされたタスクと、他の方法が失敗した場合の WMI イベントもあります。これらすべてが失敗した場合、LemonDuck は RDP、Exchange Web シェル、Screen Connect、RAT などのアクセス方法も使用して永続的なアクセスを維持します。これらのタスク名は時間の経過とともに変化する可能性がありますが、「blackball」、「blutea」、および「rtsa」は 2020 年から 2021 年にかけて存続しており、このレポートの時点でも新しい感染が確認されています。

LemonDuck は、Microsoft Defender for Endpoint のリアルタイム監視を自動的に無効にしようとし、ディスクドライブ全体 (具体的にはC:ドライブ) を Microsoft Defender 除外リストに追加します。この操作により、実質的に Microsoft Defender for Endpoint が無効になり、攻撃者が他の操作を実行できるようになります。タンパープロテクションはこれらのアクションを防ぎますが、個々のユーザーが独自の除外ポリシーを設定している場合、組織はこの動作を監視することが重要です。

次に、LemonDuck は、 WMIC.exeを利用して、 CMD.exeを介して一連の他のセキュリティ製品を自動的に削除しようとします。 LemonDuck が削除したことを確認した製品には、ESET、Kaspersky、Avast、Norton Security、MalwareBytes などがあります。ただし、次のコマンドを実行して、名前に「Security」および「AntiVirus」が含まれる製品のアンインストールも試みます。

Microsoft Defender for Endpoint またはその他のセキュリティソリューションのカスタム検出は、環境に展開されていないセキュリティ製品との相互作用を示す動作に関するアラートを生成できます。これらのアラートにより、この動作が観察されたデバイスを迅速に分離できます。このアンインストール動作は他のマルウェアでは一般的ですが、他の LemonDuck TTP と組み合わせて観察すると、この動作は LemonDuck 感染の検証に役立ちます。

LemonDuck は、幅広い無料およびオープンソースの侵入テストツールを活用しています。また、コインマイニングなど、自由に利用できるエクスプロイトや機能も使用します。このため、次のいくつかのアクティビティが実行される順序と回数は変更される可能性があります。攻撃者は、バージョン、感染方法、および時間枠に応じて、脅威の存在をわずかに変更することもできます。多くの .exe および .bin ファイルは、エンコードされた PowerShell コマンドを介して C2 からダウンロードされます。これらのドメインは、次のようなさまざまな名前を使用します。

ackng[.]com
bb3u9[.]com
ttr3p[.]com
zz3r0[.]com
sqlnetcat[.]com
netcatkit[.]com
hwqloan[.]com
75[.]ag
js88[.]ag
qq8[.]ag

スケジュールされたタスクと PowerShell を介してダウンロードのために C2 を直接呼び出すことに加えて、LemonDuck は別のユニークな動作を示します。C2 の小さなサブセットの IP アドレスが計算され、以前にランダムに生成された非実在のドメイン名とペアになります。この情報は、静的シグネチャによる検出を回避するために、Windows Hosts ファイルに追加されます。このメソッドが見られるインスタンスでは、これを 24 時間ごとに更新するルーチンがあります。この例を以下に示します。

LemonDuck は、カスタムの実行可能ファイルとスクリプトを使用することが知られています。また、XMRig や Mimikatz などのよく知られたツールの名前を変更してパッケージ化します。これらのうち、最も一般的な 3 つは次のとおりですが、他のパッケージやバイナリも確認されており、ファイル拡張子が.oriのものも多数含まれています。

IF.BIN (横移動と権限昇格に使用)
KR.BIN (競合の削除とホストへのパッチ適用に使用)
M[0-9]{1}[AZ]{1}.BIN、M6.BIN、M6.BIN.EXE、または M6G.Bin (マイニングに使用)

感染全体で使用される実行可能ファイルも、次のコードで明らかなように、ランダムな文字を選択する開始スクリプトに由来するランダムなファイル名を使用します。

横移動と権限昇格

「感染」を意味するIF.Binは、ダウンロードプロセス中に感染スクリプトに使用される最も一般的な名前です。 LemonDuck はこのスクリプトをインストール時に使用し、その後も繰り返し使用して、ポートのスキャンとネットワーク偵察の実行を試みます。次に、隣接するデバイスにログオンして、最初の LemonDuck 実行スクリプトをプッシュしようとします。

IF.Binは、追加の接続されたドライブを介して横方向に移動しようとします。ドライブが識別されると、それらがまだ感染していないことを確認するためにチェックされます。そうでない場合、 Readme.jsのコピーとIF.Binのサブコンポーネントがドライブのホームディレクトリに非表示でダウンロードされます。

同様に、 IF.Binはブルートフォースを試み、SMB、SQL、およびその他のサービスの脆弱性を利用して横方向に移動しようとします。その後、すぐにダウンロードのために C2 に接続します。

このラテラルムーブメントコンポーネント内にドロップされて利用されるもう 1 つのツールは、「Cat」インフラストラクチャと「Duck」インフラストラクチャの両方に関連付けられたmimi.datファイル内にバンドルされた Mimikatz です。このツールの機能は、追加のアクションのために資格情報の盗難を容易にすることです。資格情報の盗難と併せて、 IF.Binは追加の .BIN ファイルを投下し、CVE-2017-8464 (LNK リモートコード実行の脆弱性) のような一般的なサービスエクスプロイトを試みて権限を増やします。

攻撃者は、マルウェアがスキャンする内部感染コンポーネントを定期的に更新します。次に、ブルートフォース攻撃またはスプレー攻撃を試み、Linux および Windows システムで使用可能な SSH、MSSQL、SMB、Exchange、RDP、REDIS、および Hadoop YARN に対するエクスプロイトを試みます。最近の LemonDuck 感染が確認されたポートのサンプルには、70001、8088、16379、6379、22、445、および 1433 が含まれます。

このラテラルムーブメントコンポーネントに組み込まれ、更新されるその他の機能には、メールの自己拡散が含まれます。この拡散機能は、侵害されたデバイスに Outlook がインストールされているかどうかを評価します。存在する場合、メールボックスにアクセスし、利用可能なすべての連絡先をスキャンします。 .zip、.js、または .doc/.rtf ファイルの一部として感染を開始するファイルを、件名と本文の静的セットとともに送信します。連絡先のメールメタデータカウントも攻撃者に送信され、次のコマンドのようにその有効性を評価する可能性があります。

競合の除去とホストへのパッチ適用

インストール時とその後の繰り返しで、LemonDuck は他のすべてのボットネット、マイナー、および競合他社のマルウェアをデバイスから削除するために多大な時間を費やします。これは、関数呼び出しから名前を取得する「キラー」スクリプトであるKR.Binを介して行われます。このスクリプトは、スケジュールされたタスクを介して、多数の競合他社のマルウェアからサービス、ネットワーク接続、およびその他の証拠を削除しようとします。また、既知のマイニングポートを閉じ、人気のあるマイニングサービスを削除して、システムリソースを保護します。このスクリプトは、使用する予定のマイニングサービスを削除し、後で独自の構成で再インストールするだけです。

この「キラー」スクリプトは、2018 年と 2019 年に GhostMiner などの他のボットネットによって使用された古いスクリプトの継続である可能性があります。スクリプトの古い亜種は比較すると非常に小さいものでしたが、その後成長し、2020 年に追加のサービスが追加されました。現在、LemonDuck は変種KR.Binの命名に一貫性があるようです。このプロセスは、さまざまな PowerShell スクリプトや、「blackball」、「blutea」、または「rtsa」と呼ばれるタスクを含む、LemonDuck 自体によって作成されたスケジュールされたタスクを節約します。タスク名。

攻撃者は、特にエッジの脆弱性が最初の侵入経路として使用された場合に、環境に手動で再侵入することも観察されました。また、攻撃者は、ネットワークへの侵入に使用した脆弱性にパッチを適用して、他の攻撃者が侵入できないようにします。前述のように、攻撃者は Microsoft 提供の Exchange ProxyLogon 脆弱性緩和ツールのコピーを使用して、インフラストラクチャでホストし、他の攻撃者が以前の方法で Web シェルアクセスを取得しないようにすることが確認されました。監視されていない場合、このシナリオは、システムがパッチが適用されていない状態にあるように見えない場合、パッチが適用される前に発生した疑わしいアクティビティが無視されるか、脆弱性とは無関係であると考えられる状況につながる可能性があります。

兵器化と継続的な影響

マイナーインプラントは、LemonDuck の収益化メカニズムの一部としてダウンロードされます。使用されるインプラントは通常、XMRig であり、GhostMiner マルウェア、 Phorpiex ボットネット、およびその他のマルウェアオペレーターのお気に入りです。ファイルは次の名前のいずれかを使用します。

M6.bin
M6.bin.オリジナル
M6G.bin
M6.bin.exe
<正規表現パターン M[0-9]{1}[AZ]{1} に従うファイル名>.BIN.

自動化された動作が完了すると、脅威は一貫したチェックイン動作に入ります。以下のようなエンコードされた PowerShell コマンドを使用して、必要に応じて C2 インフラストラクチャとマイニングプールにマイニングとレポートを行います (デコードされます)。

影響を受ける他のシステムは、過去に他のマルウェアによってドロップされたことが確認されている非常に人気のあるトロイの木馬である Ramnit などの二次ペイロードをもたらします。追加のバックドア、その他のマルウェアインプラント、および最初の感染後も継続する活動は、LemonDuck のようなコインマイニングマルウェアによる「単純な」感染でさえ持続し、企業により危険な脅威をもたらす可能性があることを示しています。

幅広いマルウェア操作に対する包括的な保護

Microsoft 365 Defenderによって提供されるクロスドメインの可視性と調整された防御は、LemonDuck が示すように、脅威の範囲が広く、ますます巧妙化するように設計されています。以下に、Microsoft 365 Defender のお客様が LemonDuck やその他のマルウェア操作による脅威に対してネットワークを強化するために使用できる緩和アクション、検出情報、および高度な検索クエリを示します。

緩和策

これらの緩和策を適用して、LemonDuck の影響を軽減してください。監視対象の軽減策の展開ステータスについては、推奨事項カードを確認してください。

機密性の高いエンドポイントでこれらのデバイスをブロックすることにより、リムーバブルストレージデバイス経由で脅威が到達するのを防ぎます。リムーバブルストレージデバイスを許可する場合は、自動実行をオフにし、リアルタイムのウイルス対策保護を有効にし、信頼できないコンテンツをブロックすることで、リスクを最小限に抑えることができます。 USB デバイスやその他のリムーバブルメディアからの脅威を阻止する方法について説明します。
Linux および Windows デバイスが定期的なパッチ適用に含まれていることを確認し、CVE-2019-0708、CVE-2017-0144、CVE-2017-8464、CVE-2020-0796、CVE-2021-26855、CVE-2021 に対する保護を検証します。 -26858、および CVE-2021-27065 の脆弱性、および SMB、SSH、RDP、SQL などの一般的なサービスでのブルートフォース攻撃に対する攻撃。
PUA 保護をオンにします。不要と思われるアプリケーション (PUA) は、マシンのパフォーマンスと従業員の生産性に悪影響を及ぼす可能性があります。エンタープライズ環境では、PUA 保護により、アドウェア、トレントダウンローダー、およびコインマイナーを阻止できます。
改ざん防止機能を有効にして、攻撃者がセキュリティサービスを停止できないようにします。
Microsoft Defender ウイルス対策で、クラウドによる保護と自動サンプル送信を有効にします。これらの機能は、人工知能と機械学習を使用して、新しい未知の脅威を迅速に特定して阻止します。
SmartScreen をサポートする Microsoft Edge やその他の Web ブラウザーを使用するようユーザーに勧めてください。 SmartScreen は、フィッシングサイト、詐欺サイト、エクスプロイトやホストマルウェアを含むサイトなど、悪意のある Web サイトを識別してブロックします。ネットワーク保護を有効にして、悪意のあるドメインと IP アドレスへの接続をブロックします。
Office 365 のスパム対策ポリシーとメールフロールールで、許可されている送信者、ドメイン、および IP アドレスを確認します。許可された送信者アドレスが信頼できる組織に関連付けられている場合でも、これらの設定を使用してスパム対策フィルターをバイパスする場合は特に注意してください。Office 365 はこれらの設定を尊重し、潜在的に有害なメッセージを通過させる可能性があります。 Threat Explorer でシステムのオーバーライドを確認して、攻撃メッセージが受信者のメールボックスに到達した理由を特定します。

攻撃面の減少

この脅威に関連するアクティビティをブロックまたは監査するには、次の攻撃面削減ルールを有効にします。

ウイルス対策検出

Microsoft Defender ウイルス対策は、脅威コンポーネントを次のマルウェアとして検出します。

TrojanDownloader:PowerShell/LemonDuck!MSR
TrojanDownloader:Linux/LemonDuck.G!MSR
トロイの木馬:Win32/LemonDuck.A
トロイの木馬:PowerShell/LemonDuck.A
トロイの木馬:PowerShell/LemonDuck.B
トロイの木馬:PowerShell/LemonDuck.C
トロイの木馬:PowerShell/LemonDuck.D
トロイの木馬:PowerShell/LemonDuck.E
トロイの木馬:PowerShell/LemonDuck.F
トロイの木馬:PowerShell/LemonDuck.G
TrojanDownloader:PowerShell/LodPey.A
TrojanDownloader:PowerShell/LodPey.B
トロイの木馬:PowerShell/Amynex.A
トロイの木馬:Win32/Amynex.A

エンドポイントの検出と対応 (EDR) アラート

セキュリティセンターの次のタイトルのアラートは、ネットワーク上の脅威の活動を示している可能性があります。

LemonDuck ボットネット C2 ドメインの活動
LemonDuck マルウェア

次のアラートも、この脅威に関連する脅威の活動を示している可能性があります。ただし、これらのアラートは無関係の脅威アクティビティによってトリガーされる可能性があり、このレポートで提供されるステータスカードでは監視されません。

疑わしい PowerShell コマンドライン
疑わしいリモートアクティビティ
不審なサービスの登録
疑わしいセキュリティソフトウェアの発見
不審なシステムネットワーク構成の検出
疑わしい一連の探査活動
疑わしいプロセスの発見
疑わしいシステムの所有者/ユーザーの発見
不審なシステムネットワーク接続の検出
不審なタスクスケジューラアクティビティ
疑わしい Microsoft Defender ウイルス対策の除外
cmd.exe による不審な動作が確認されました
疑わしいリモート PowerShell 実行
svchost.exe による不審な動作が確認されました
WMI イベントフィルタが疑わしいイベントコンシューマにバインドされました
兼用ツールの使用を隠蔽しようとする試み
システム実行ファイルの名前を変更して起動
Microsoft Defender ウイルス対策保護がオフになっています
ASEP レジストリで検出された異常
不審な内容のスクリプトが確認されました
難読化されたコマンドラインシーケンスが特定されました
潜在的に悪意のあるコードがプロセスに挿入されました
悪意のある PowerShell コマンドレットがマシンで呼び出されました
資格情報の盗難活動の疑い
非標準ポートへのアウトバウンド接続
機密クレデンシャルメモリの読み取り

高度な狩猟

LemonDuck ボットネットは、電子メール配信後のペイロードと配信方法が非常に多様であるため、アラートを回避できる場合があります。 Microsoft 365 Defender および Microsoft Defender for Endpoint の高度な検索機能を使用して、この脅威に関連するアクティビティを明らかにすることができます。

注:次のサンプルクエリでは、1 週間分のイベントを検索できます。最大 30 日分の生データを探索して、ネットワーク内のイベントを調査し、1 週間以上の潜在的なレモンダック関連の指標を見つけるには、[高度なハンティング] ページ > [クエリ] タブに移動し、カレンダーのドロップダウンメニューを選択して、過去 30 日間を検索するクエリ。

LemonDuck テンプレートの件名

悪意のある LemonDuck サンプルを電子メールに添付し、影響を受けるマシンのメールボックスの連絡先に送信するドロップスクリプトで、2020 年から 2021 年にかけて存在する件名を探します。さらに、添付ファイルがメールボックスに存在するかどうかを確認します。現在チェックする一般的な添付ファイルの種類は、.DOC、.ZIP、または .JS ですが、これは件名自体と同様に変更される可能性があります。 Microsoft 365 セキュリティセンターでクエリを実行します。

EmailEvents | where Subject in ('The Truth of COVID-19','COVID-19 nCov Special info WHO','HALTH ADVISORY:CORONA VIRUS', 'WTF','What the fcuk','good bye','farewell letter','broken file','This is your order?') | where AttachmentCount >= 1

LemonDuck ボットネット登録機能

名前が「SIEX」の関数実行のインスタンスを探します。これは、Lemon Duck 初期化スクリプト内で、コマンドアンドコントロールインフラストラクチャに報告するための特定のユーザーエージェントを割り当てるために使用されます。このクエリには、コンポーネントサイトからのダウンロードの成功を示す追加の周辺ログが付随する必要があります。 Microsfot 365 セキュリティセンターでクエリを実行します。

DeviceEvents | where ActionType == "PowerShellCommand" | where AdditionalFields =~ "{"Command":"SIEX"}"

LemonDuck キーワードの識別

PowerShell プロセスによって開始されたキーワードのバリエーションである LemonDuck の単純な使用法を探します。すべての結果は Lemon_Duck の動作を反映する必要がありますが、この用語を明示的に使用しない可能性のある Lemon_Duck の既存の亜種があるため、既知の TTP に基づく追加の検索クエリで検証してください。 Microsoft 365 セキュリティセンターでクエリを実行します。

DeviceProcessEvents | where InitiatingProcessFileName == "powershell.exe" | where InitiatingProcessCommandLine has_any("Lemon_Duck","LemonDuck")

LemonDuck Microsoft Defender 改ざん

LemonDuck などのマルウェアがリアルタイム監視機能を無効にしたり、ドライブ文字全体を除外基準に追加したりして、Defender を変更しようとする可能性があるコマンドラインイベントを探します。アプリケーションの設計上、タンパープロテクションが有効になっている場合でも、除外の追加が成功することがよくあります。カスタムアラートは、その環境で一般的な特定のドライブ文字について、その環境で作成できます。 Microsoft 365 セキュリティセンターでクエリを実行します。

DeviceProcessEvents | where InitiatingProcessCommandLine has_all ("Set-MpPreference", "DisableRealtimeMonitoring", "Add-MpPreference", "ExclusionProcess") | project ProcessCommandLine, InitiatingProcessCommandLine, DeviceId, Timestamp

ウイルス対策のアンインストール試行

LemonDuck または他の同様のマルウェアが、リアルタイム監視機能を無効にするか、ドライブ文字全体を除外基準に追加することによって、Defender を変更しようとする可能性があるコマンドラインイベントを探します。アプリケーションの設計上、タンパープロテクションが有効になっている場合でも、除外の追加が成功することがよくあります。カスタムアラートは、その環境で一般的な特定のドライブ文字について、その環境で作成できます。 Microsoft 365 セキュリティセンターでクエリを実行します。

DeviceProcessEvents | where InitiatingProcessFileName =~ "wmic.exe" | where InitiatingProcessCommandLine has_all("product where","name like","call uninstall","/nointeractive") | where InitiatingProcessCommandLine has_any("Kaspersky","avast","avp","security","eset","AntiVirus","Norton Security")

既知の LemonDuck コンポーネントスクリプトのインストール

マルウェアの「キラー」機能と「感染」機能、およびマイニングコンポーネントと潜在的な二次機能を有効にするスクリプトなどのサポートスクリプトをダウンロードする際に、検出を難読化しようとするコールバックアクションのインスタンスを探します。誤検知の可能性がある環境を考慮して、より具体的なインスタンスのオプションが含まれています。ほとんどの一般的なバージョンは、非 .bin ファイルや非一般的なコンポーネントを使用するように変更するなど、スクリプトやコンポーネントのマイナーな変更を考慮することを目的としています。 Microsoft 365 セキュリティセンターでクエリを実行します。

DeviceProcessEvents | where InitiatingProcessFileName in ("powershell.exe","cmd.exe") | where InitiatingProcessCommandLine has_all("/c echo try","down_url=","md5","downloaddata","ComputeHash") or InitiatingProcessCommandLine has_all("/c echo try","down_url=","md5","downloaddata","ComputeHash",".bin") or InitiatingProcessCommandLine has_all("/c echo try","down_url=","md5","downloaddata","ComputeHash","kr.bin","if.bin","m6.bin")

LemonDuck がスケジュールされた作成に名前を付ける

LemonDuck のインスタンスを探します。静的に名前が付けられたスケジュールされたタスクまたはタスク作成の半固有のパターンを作成します。LemonDuck は、ランダムに生成されたタスク名と組み合わせて、非表示の PowerShell プロセスの起動も利用します。ランダムに生成されたものの例は次のとおりです: “schtasks.exe” /create /ru system /sc MINUTE /mo 60 /tn fs5yDs9ArkVIVLzNXfZV/F /tr “powershell -w hidden -c PS_CMD”. Microsoft 365 セキュリティセンターでクエリを実行します。

DeviceProcessEvents | where FileName =~ "schtasks.exe" | where ProcessCommandLine has("/create") | where ProcessCommandLine has_any("/tn blackball","/tn blutea","/tn rtsa") or ProcessCommandLine has_all("/create","/ru","system","/sc","/mo","/tn","/F","/tr","powershell -w hidden -c PS_CMD")

競合キラースクリプトのスケジュールされたタスクの実行

マルウェアのインストールと持続性を具体化する前に、競合を排除することを目的とした、LemonDuck コンポーネント KR.Bin のインスタンスを探します。使用されているキラースクリプトは、2018 年以前の履歴バージョンに基づいており、時間の経過とともに拡張され、さまざまなボットネット、マルウェア、およびその他の競合サービスのスケジュールされたタスクとサービス名が含まれています。 LemonDuck が現在使用しているバージョンには、約 40 ～ 60 のスケジュールされたタスク名があります。このクエリの上限は、時間境界を含めるように変更および調整できます。 Microsoft 365 セキュリティセンターでクエリを実行します。

DeviceProcessEvents | where ProcessCommandLine has_all("schtasks.exe","/Delete","/TN","/F") | summarize make_set(ProcessCommandLine) by DeviceId | extend DeleteVolume = array_length(set_ProcessCommandLine) | where set_ProcessCommandLine has_any("Mysa","Sorry","Oracle Java Update","ok") where DeleteVolume >= 40 and DeleteVolume <= 80

LemonDuck は、動的 C2 ダウンロード用のファイル調整をホストします

LemonDuck が同時に C2 の IP アドレスを取得し、取得したアドレスでホストファイルを変更しようとする PowerShell イベントを探します。アドレスは、存在しないランダムに生成された名前に関連付けられます。次に、スクリプトはマシンにアドレスからデータをダウンロードするように指示します。このクエリには、より一般的で具体的なバージョンがあり、他のアクティビティグループがこの手法を利用した場合に、この手法を検出できます。 Microsoft 365 セキュリティセンターでクエリを実行します。

DeviceProcessEvents | where InitiatingProcessFileName == "powershell.exe" | where InitiatingProcessCommandLine has_all("GetHostAddresses","etc","hosts") or InitiatingProcessCommandLine has_all("GetHostAddresses","IPAddressToString","etc","hosts","DownloadData")

Microsoft Defender 365 を使用して、自動化されたクロスドメインセキュリティと組み込みの AI を通じて組織が攻撃を阻止する方法について説明します。

参考： https ://www.microsoft.com/en-us/security/blog/2021/07/29/when-coin-miners-evolve-part-2-hunting-down-lemonduck-and-lemoncat-attacks/