DarkRadiation 랜섬웨어

DarkRadiation은 Linux 시스템에 대한 일련의 공격에서 사이버 범죄자가 배포 한 랜섬웨어 위협입니다. 더 구체적으로, 위협 행위자들은 Red Hat, CentOS 및 Debian 기반 Linux 배포판을 감염시키는 것을 목표로했습니다. 액세스 권한을 얻은 후 해커는 SSH 웜을 사용하여 피해자의 네트워크를 가로 질러 이동하고 DarkRadiation이라는 랜섬웨어 위협을 배포했습니다. Infosec 연구원들은 여러 버전을 발견했기 때문에 위협이 활발하게 개발되고 있다고 생각합니다. 일부는 죽은 코드 (위협에 의해 실행되지 않는 기능) 또는 위협 작성자의 의견을 전달하는 경우 모두 동작에 약간의 차이가 있습니다.

DarkRadiation Ransomware는 bash 스크립트로 작성된 다음 Node.js CLI 유틸리티 및 라이브러리 인 'node-bash-obsfucated'오픈 소스 도구를 통해 난독 화됩니다. bash 스크립트를 더 작은 청크로 분할 한 다음 변수 이름이 할당 된 스크립트를 스크램블하도록 설계되었습니다. 차례로 원래 스크립트는 변수 참조로 대체됩니다. 대상 시스템에 전달되면 DarkRadiation의 첫 번째 작업은 루트 권한을 확인하는 것입니다. 그것들이 없으면 랜섬웨어는 'Please run as root'라는 메시지를 표시하고 스스로 제거합니다.

필요한 권한이있는 경우 DarkRadiation Ransomware는 bot_who 함수 및 'who'명령을 통해 현재 Unix 컴퓨터에 로그인 한 사용자의 스냅 샷을 생성합니다. 결과는 /tmp/.ccw의 숨겨진 파일에 저장됩니다. 그런 다음 새 스냅 샷을 파일에 저장된 상태와 비교하는 위협과 함께 절차가 5 초마다 반복됩니다. 로그인 한 신규 사용자와 같은 불일치는 Telegrams API를 통해 위협 행위자에게보고됩니다.

암호화 프로세스

DarkRadiation Ransomware는 CBC 모드와 함께 OpenSSL의 AES 알고리즘을 사용하여 손상된 시스템의 여러 디렉토리에 저장된 파일을 암호화합니다. 그러나 암호화 프로세스가 시작되기 전에 위협은 다른 작업을 수행합니다. '/ etc / shadow / 파일에 대한 쿼리를 생성하여 침해 된 시스템의 모든 사용자 목록을 검색합니다. 그런 다음 기존 사용자의 비밀번호를 'megapassword'로 덮어 씁니다. DarkRadiation은 위협 자체에 의해 생성 된 사용자 프로필 인 'Ferrum'을 제외한 모든 사용자를 삭제합니다. 'usermod --shell / bin / nologin'명령을 실행하면 랜섬웨어는 기존의 모든 셸 사용자를 비활성화합니다. 위협은 C & C (Command-and-Control) 서버에 접속하여 '0.txt'라는 파일이 있는지 확인합니다. 그렇지 않은 경우 DarkRadiation은 암호화 프로세스를 사용하지 않고 대신 다시 시도하기 전에 60 초 절전 모드에 들어갑니다.

연구원들은 탐지 된 DarkRadiation 샘플이 사용하는 암호화 경로에서 약간의 차이를 발견했습니다. 일부는 자체적으로 암호화를 수행하고 다른 일부는 'crypt_file.sh'라는 별도의 스크립트를 사용했습니다. 그러나 그들은 모두 새로운 확장자로 원래 파일 이름에 방사능 기호를 추가하여 암호화 된 파일을 표시했습니다. 맬웨어는 몸값 메모를 생성하기 전에 현재 활성화 된 모든 Docker 컨테이너를 중지하거나 비활성화합니다.