據(jù)火絨安全實驗室消息日前蠕蟲病毒檸檬鴨 (LemonDuck) 感染量正在持續(xù)增加并通過多種爆破方式加速傳播等。

檸檬鴨并不是最近高發(fā)的勒索軟件而是個專注于挖礦的病毒，背后的開發(fā)者主要希望感染大量設(shè)備進行挖礦獲利。

盡管不是勒索軟件不過在攻擊方式上檸檬鴨也并不示弱，火絨工程師分析發(fā)現(xiàn)檸檬鴨內(nèi)置多種策略進行感染傳毒。

例如檸檬鴨會內(nèi)置多組常見密碼用來爆破 RDP、調(diào)用永恒之藍橫向傳播、調(diào)用USBLnk漏洞利用移動設(shè)備傳播等。

廣西名菜檸檬鴨...

蠕蟲病毒檸檬鴨：

沉迷挖礦不能自拔的檸檬鴨：

火絨安全實驗室經(jīng)過分析后發(fā)現(xiàn)檸檬鴨蠕蟲病毒最主要的目的就是感染更多設(shè)備然后再安裝挖礦模塊挖掘門羅幣。

XMR即門羅幣是個支持以 CPU 進行挖礦的虛擬貨幣，也正是因為這個特性導(dǎo)致許多黑客感染普通電腦進行挖礦。

然而門羅幣挖礦難度幾乎與比特幣相同，因此家用電腦這點算力很難挖礦，黑客必須感染足夠多的設(shè)備才能獲利。

也正是如此檸檬鴨蠕蟲病毒并未發(fā)現(xiàn)其他惡意行為，主要就是利用多種方式盡可能感染更多設(shè)備然后安裝挖礦機。

由于門羅幣的隱私屬性因此我們并不能查詢黑客目前的挖礦收益，但當(dāng)前感染量非常大因此黑客也可能獲益頗豐。

XMRig是個開源的門羅幣挖礦程序，上圖為檸檬鴨的挖礦模塊運行圖

攻擊方法不新鮮但感染量并不小：

檸檬鴨蠕蟲病毒最初在 2019 年被發(fā)現(xiàn)，這款蠕蟲病毒使用的都是比較常規(guī)的攻擊方式因此整體來說并不算新鮮。

然而值得關(guān)注的是雖然攻擊手法老套但依然感染大量設(shè)備并且感染量持續(xù)增長，弱密碼和漏洞依然是黑客的首選。

檸檬鴨內(nèi)置的攻擊方式主要是密碼表來爆破企業(yè)的遠程桌面連接以及借用永恒之藍等安全漏洞進行局域網(wǎng)傳播等。

其中遠程桌面連接爆破已經(jīng)是老生常談的問題，最主要的依然還是企業(yè)應(yīng)該使用高強度密碼不能使用簡單弱密碼。

疫情期間許多企業(yè)在家辦公或許是檸檬鴨感染量劇增的原因之一，因為許多企業(yè)員工需要使用遠程桌面連接電腦。

至于漏洞問題這基本沒什么說的了，畢竟永恒之藍都是幾年前的漏洞了，到現(xiàn)在還不補丁修復(fù)著實讓人非常詫異。

所幸檸檬鴨只是挖礦不是勒索軟件或者竊取企業(yè)資料，不然對于企業(yè)來說被感染后遭受的損失可能是非常巨大的。