来自奥法和NetbyteSEC安全研究人员的最新报告揭示了LemonDuck恶意软件的死灰复燃，该恶意软件现在正在利用微软服务器消息块（SMB）协议中的EternalBlue漏洞（CVE-2017-0144）来促进加密攻击。臭名昭著的漏洞 EternalBlue最早被臭名昭着的 WannaCry 勒索软件利用，它仍然是 LemonDuck等恶意软件的关键入侵点，后者瞄准网络资源来挖掘加密货币，同时逃避检测。

LemonDuck被确认为一种复杂的加密挖矿恶意软件，使用多种攻击向量，包括钓鱼电子邮件、强力密码攻击和SMB攻击。一旦它能够访问一个易受的系统，它就会建立控制并利用机器的处理能力进行加密。“LemonDuck 使用PowerShell来避免检测，部署各种恶意有效载荷，并针对系统进行加密劫持，”研究人员指出。

攻击始于对SMB服务的蛮干攻击，利用EternalBlue漏洞获取未经授权的访问。在报告的案例研究中，研究人员透露，攻击者来自台湾台中市的一个IP，成功地破坏了一个SMB服务，授予他们管理权限。根据该报告，“攻击者为C:驱动器创建了一个隐藏的管理共享，使得在受害者不知情的情况下能够远程访问。”

攻击者一旦获得访问权，就会使用批处理文件p.bat来发起一系列恶意操作。这些操作包括复制恶意文件（msInstall.exe），对其进行重命名，以及设置防火墙规则以将流量重定向到远程服务器。报告指出，“该批处理文件还执行一个编码为 base64的PowerShell脚本，从远程URL下载其他恶意软件，并安排任务以确保持久执行。”

LemonDuck的主要目标是利用系统资源进行加密挖掘。为了达到这个目的，恶意软件使用各种技术来保持持久性和避免被检测到。其中一种方法包括禁用Windows Defender实时保护，并将整个C:驱动器添加到排除列表中，确保安全软件忽略恶意活动。该报告强调，“此恶意软件能够禁用Windows Defender的实时保护，并为整个C:驱动器和PowerShell进程，以避免被检测。”

该恶意软件还操纵网络设置，在与DNS相关的规则下打开TCP端口（65532、65531、65539），并使用端口代理将出站流量伪装成合法的DNS请求。这使得恶意软件能够与其命令与控制（C2）服务器通信并泄漏数据，而不会在典型的网络监控系统中引起警报。

该报告提供了几个与LemonDuck相关的折衷指标（IOC），包括IP地址、URL和恶意可执行文件。攻击中标记的关键URL之一是http://t.amynx.com/gim.jsp,用于下载额外的恶意软件有效载荷。VirusTotal 已将此URL标记为恶意，并将其与加密活动联系起来。

为了减轻这些攻击，我们敦促组织对其系统进行补丁，以抵御已知的漏洞，特别是 EternalBlue （CVE-2017-0144）。定期更新软件并使用能够检测网络横向移动的高级安全解决方案，对于防止 LemonDuck 这样的恶意软件站稳脚跟至关重要。

LemonDuck 恶意软件继续发展，采用了强力SMB漏洞、加密有效载荷和高级规避技术相结合的方式来破坏易受的系统。正如报告所指出的，“对于组织来说，确保定期更新所有操作系统和软件以防范已知漏洞（包括 EternalBlue （CVE-2017-0144））至关重要，以最大限度地降低被泄露的风险。”