레몬 덕(lemon duck)

레몬덕(lemon duck)

윈도우 7을 기반으로 하는 기계들을 대상으로 사물인터넷 장비를 최대한 많이 이용하여 암호화폐를 채굴하는 것, 
특히  1)모네로 획득에 혈안을 두고 있음,
레몬덕 공격자들은 윈도우 7에서 발견된 취약점들을 가지고 최초침투에 활용 특히 2)서버 메시지 블록(SMB)을 악용하는 3)이터널블루 익스플로잇이 애용되고 있으나, MYSQL의 SQL Injection 또한 많이 악용되고 있음
SMB(445번), MSSQL(1433번)을 확인하여 인터넷과 연결이 되어 있는지부터 확인 후 다수의 스레드를 실행
그 후 브루트포스 공격을 실시해 크래킹 크래킹 성공 시 SMB  or MSSQL을 통해 추가 멀웨어 전송
공격 지속성 확보를 위해 스케줄러 or powreshell script 활용
침투  이유 : 4)XMRig를 심기 위해(모네로 채굴을 위해)
공격 수법들은 윈도우 10에서는 통하지 않음

방어방법
1. 비밀번호 관리 정책의 강력하게 도입
2. 시스템 최신화
3. 로그인 기록 확인하여 낯선 계정의 접근을 막음
4. 가장 중요한건 윈도우 10으로 업그레이드

세줄 요약

1) 1월 14일 윈도우7 종료가 되면서 윈도우7 기반으로 하는 기계들 상대로 암호화폐 채굴하는 레몬덕이 발생

2) 레몬덕은 SMB를 악용하는 이터널블루 익스플로잇 공격방식으로 많이 사용

3) 최고의 방어방법은 윈도우 10으로 업그레이드 하는 방법 

 

모르는 단어
  1) 모네로 = 암화화폐 중 하나
  2)SMB(445번) = 도스or 윈도우에서 파일, 디렉터리 및 주변장치 공유하는데 사용하는 메시지
  3)이터널블루 익스플로잇 : SMB프로토콜의 원격코드 실행 취약점(MS17-010)을 이용하는 공격
  4)XMRig =  모네로 코인 채굴기