Kacsavírus: már Linuxon is fertőz Lemon Duck vírus

​A Lemon Duck nevű kártékony program immár a Linux operációs rendszerekre épülő számítógépeket sem kíméli. Egy nagyon gyorsan fejlődő károkozóról van szó.
 

A Lemon Duck nem ismeretlen a biztonsági szakemberek előtt, hiszen már tavaly is lehetett hallani róla. Akkor elsősorban azzal hívta fel magára a figyelmet, hogy vállalati hálózatokba igyekezett beférkőzni, és az itt feltárt erőforrások kihasználásával kriptobányászatba kezdett. Sok esetben használta ki a EternalBlue sebezhetőséget, de a Microsoft SQL Serverre épülő adatbázis kiszolgálókat is igencsak megkedvelte. E szerverekre az XMRig Monero (XMR) szoftvert telepítette fel, amelynek segítségével Monerot kezdett bányászni a fertőzött rendszerek teljesítményének rovására. 

Folyamatos fejlődés

A Lemon Duck legújabb variánsára ezúttal a Sophos biztonsági kutatói akadtak, akik számos újdonságot tártak fel a károkozó vizsgálata során. Ezek közül a leglényegesebb, hogy a trójai elkezdett szemezni a Linux alapú rendszerekkel is. Egy olyan modullal bővült, amely alkalmas SSH-kapcsolatokon keresztül történő fertőzésre. A szerzemény az interneten olyan kiszolgálókat keres, amelyek esetében nyitott a 22-es TCP port, amin alapértelmezésként SSH-kapcsolat építhető ki. Ha ráakad egy ilyen rendszerre, akkor brute force módszerekkel igyekszik hozzáférést szerezni előre meghatározott felhasználónevek és jelszavak próbálgatásával. 

Amennyiben sikerül hozzáférnie egy linuxos szerverhez, akkor azon először ütemezett feladatokat (cron) hoz létre annak érdekében, hogy a számítógép újraindítását követően is működőképes maradjon. Amint ezzel végez, akkor ellenőrzi a fertőzött rendszeren, hogy nem fut-e más kriptobányász program. Amennyiben ilyet talál, akkor azt leállítja, majd saját bányászkodásba kezd. Eközben a "/.ssh/known_hosts" fájl révén további célpontok után néz. 

Van más is a tarsolyban

A Sophos jelezte, hogy a Lemon Duck új variánsa további támadási felületeket is képes kiaknázni. Így például alkalmas a Microsoft által tavasszal jelzett SMBv3 (CVE-2020-0796) sebezhetőség kihasználására, és egy RTF-exploittal is rendelkezik (CVE-2017-8570). Amennyiben az SMBGhost moduljával hajt végre támadást az említett sérülékenység kihasználásával, akkor a fertőzést követően az érintett rendszereken letiltja a 445-ös és a 135-ös portok használatát, feltételezhetően azért, hogy más kártékony programok ne tudják megzavarni a ténykedését. 

A Sophos megjegyezte, hogy a Lemon Duck már alkalmas a Redis és a Hadoop kiszolgálók ostromlására is. 

"A Lemon Duck az egyik legfejletteb ilyen típusú, kártékony, kriptobányász program. A készítői folyamatosan frissítik a kódját, hogy újabb támadási vektorokat használjanak ki, és minél nehezebbé tegyék a szerzeményük detektálását"

- nyilatkozta Rajesh Nataraj, a Sophos egyik biztonsági kutatója.