跳到主要內容區塊
:::
:::

[資訊中心轉公告]【攻擊預警】Lemon_Duck PowerShell加密勒索企業網路

臺灣學術網路危機處理中心接獲國際情資,駭客利用Lemon_Duck PowerShell嘗試利用EternalBlue SMB漏洞,暴力攻擊MS-SQL服務或Pass-the-hash攻擊系統,迴避資安防禦機制,入侵終端系統執行惡意勒索並散播惡意程式。

 

受感染系統會以下列方式散播:

 

1. EternalBlueSMB漏洞利用。

 

2. USB和網路磁碟:腳本會將惡意Windows *.lnk shortcut filesDLL files寫入感染系統中的USB或連線的網路磁碟機中,並透過Windows *.lnk漏洞(CVE-2017-8464)散播惡意程式。

 

3. Startup file:腳本將惡意檔案寫入Windows系統上的啟動位置(如開始中的啟動裡),並在統重啟後執行。

 

4. MS-SQL Server暴力破解: 使用腳本置中的密碼表嘗試暴力破解SQL ServerSA帳戶。

 

5. Pass the Hash攻擊: 利用腳本中的hash table執行Pass the Hash攻擊。

 

6. 使用WMI在遠端系統上執行惡意指令。

 

7. RDP暴力破解。

 

 

攻擊來源資訊:

 

- Potential C2:

 

  27.102.107[.]41

 

- Potential Brute Force:

 

 113.140.80[.]197 - Port Scanning/Brute force (CN)

 

 120.253.228[.]35 - Port Scanning/Brute force port 3389 (CN)

 

 112.133.236[.]187 - Brute Force port 445 (India)

 

 58.62.125[.]245 - Brute Force port 445/Port Scanning (CN)

 

- Potential Scanning:

 

 58.221.24[.]178 - Port Scanning (CN)

 

 221.4.152[.]250 - Port Scanning port 1433 (CN)

 

 182.140.217[.]226 - Port scanning (CN)

 

 1.202.15[.]246 - Port scanning port 3389 (CN)

 

 

Additionally the following are potential host indicators:

 

- Scheduled task named Rtsa

 

- Listening port of 65529

 

- Service with a randomly generated name

 

- Mutexes within PowerShell called LocalIf and LocalMn

 

[影響平台:]

所有Windows系統

[建議措施:]

1. 安裝Windows SMB 安全更新。

 

2. 關閉網路芳鄰(SMBv1)

 

3. 使用高強度密碼。

 

4. 安裝Windows CVE-2017-8464 漏洞相關安全更新。

 

5. 建議封鎖攻擊來源IP

[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組

網址:https://info.cert.tanet.edu.tw/

專線電話:07-5250211

網路電話:98400000

E-Mailservice@cert.tanet.edu.tw

 ---

電話服務:週一至週五 0800-1700 03-4227151# 57555, 57566

網路電話(VoIP)9782005597820066

週一至週五 1700-2200   03-4227151# 57511

Email 服務: tanet_ncu@ncu.edu.tw

桃園區網網址: http://web.tyrc.edu.tw

 

瀏覽數  
將此文章推薦給親友
請輸入此驗證碼

最後更新日期

2019-12-10