상세 컨텐츠

본문 제목

웜 기능을 포함한 DarkRadiation 랜섬웨어, 리눅스와 Docker 노려

국내외 보안동향

by 알약4 2021. 6. 23. 09:32

본문

 

 

Wormable bash DarkRadiation Ransomware targets Linux distros and docker containers

 

Bash 스크립트로 작성되었으며 리눅스(Red Hat/CentOS/Debian)Docker 클라우드 컨테이너를 노리는 새로운 랜섬웨어인 DarkRadiation이 발견되었습니다.

 

이 랜섬웨어는 OpenSSLAES 알고리즘과 CBC 모드를 사용하여 파일을 암호화하고, C2 통신에 TelegramAPI를 사용합니다. 또한 랜섬웨어는 파일을 암호화한 후 파일 이름에 방사성 기호인 를 추가합니다.

 

전문가들은 이 공격 체인 컴포넌트의 대부분이 VirusTotal 탐지율이 낮다는 사실을 발견했습니다. 트위터 사용자인 @r3dbU7z는 랜섬웨어 정보와 함께 해당 해킹 툴의 URL을 처음으로 제보했습니다.

 

해당 사용자는 먼저 악성코드의 명령 및 제어 서버의 IP 주소인 185[.]141[.]25[.]168와 “api_attack” 디렉토리 내 해킹 툴 모음이 있음을 제보했습니다.

 

 

<이미지 출처 : https://twitter.com/r3dbU7z/status/1398144300937105409>

 

 

Trend Micro는 분석을 통해 아래와 같이 밝혔습니다.

 

“api_attack 디렉토리에는 우리가 DarkRadiation이라 명명한 다양한 Bash 랜섬웨어 버전과 이 랜섬웨어를 확산시키는 역할을 하는 SSH 웜이 들어있었습니다. 이 디렉토리 내 Supermicro_cr_third 스크립트는 랜섬웨어의 가장 완전한 버전인 것으로 보입니다. 이 스크립트는 Bash 스크립트 툴을 난독화하는 Node.js CLI 툴 및 라이브러리인 node-bash-obfuscate라는 오픈소스 툴로 난독화되었습니다.”

 

DarkRadiation 랜섬웨어는 먼저 루트로 실행되는지 확인한 후 권한이 있을 경우 Wget, cURL, OpenSSL이 설치되었는지 확인합니다. 설치되지 않은 것으로 확인될 경우 악성코드가 이를 다운로드 및 설치합니다.

 

SentinelOne의 연구원들은 위 툴 중 하나라도 사용할 수 없을 경우, 악성코드가 RedHatCentOS 등 인기있는 리눅스 배포판에서 폭넓게 사용하는 파이썬 기반 패키지 매니저인 YUM(Yellowdog Updater Modified)을 통해 필요한 툴을 다운로드한다고 밝혔습니다.

 

이 악성코드가 사용하는 함수 중 하나인 bot_who는 운영자가 “who” 명령을 사용하여 유닉스 컴퓨터 시스템에 현재 로그인한 사용자의 스냅샷을 찍을 수 있도록 하는 Bash 스크립트입니다. 또한 그 결과를 숨겨진 파일인 “/tmp/.ccw”에 저장합니다.

 

해당 스크립트는 “who” 명령을 매 5초마다 실행하고 아웃풋인 “.ccw” 파일을 확인합니다. 새로운 사용자가 로그인하면, 악성코드는 텔레그램의 API를 사용하여 공격자에게 메시지를 전송합니다.

 

파일을 암호화하기 전에 랜섬웨어는 “/etc/shadow” 파일을 쿼리해 감염된 시스템의 모든 사용자 목록을 받아옵니다.

 

이후 모든 사용자 비밀번호를 “megapassword”로 덮어쓰기하고 존재하는 모든 사용자를 삭제합니다.

 

그런 다음, 악성코드는 사용자 이름 “ferrum”, 비밀번호 “MegPw0rD3”인 새로운 사용자를 생성한 후 “usermod –shell /bin/nologin” 명령을 실행해 감염된 시스템에 존재하는 모든 기존 셸 사용자를 비활성화합니다.

 

연구원들은 악성코드가 감염된 시스템에서 모든 Docker 콘테이너를 중지 및 비활성화시킨 후 랜섬노트를 생성하는 것도 가능하다고 보고했습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Linux.Gen’, 'Trojan.Downloader.Shell.Agent', 'Trojan.Rootkit.Linux.Agent', 'Misc.HackTool.Python'으로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/119256/uncategorized/wormable-bash-darkradiation-ransomware.html

https://www.trendmicro.com/en_us/research/21/f/bash-ransomware-darkradiation-targets-red-hat--and-debian-based-linux-distributions.html

저작자표시 비영리 변경금지

'국내외 보안동향' 카테고리의 다른 글

VMware, Carbon Black App Control의 인증 우회 취약점 수정  (0) 2021.06.24
패치되지 않은 리눅스 ‘Pling Store’ 플랫폼의 공급망 취약점 발견  (0) 2021.06.23
특정 무선 네트워크 이름, 아이폰의 Wi-Fi 기능 손상 시킬 수 있어  (0) 2021.06.22
ADATA, Ragnar Locker 랜섬웨어 공격으로 700GB 데이터 유출돼  (0) 2021.06.22
미 슈퍼마켓 체인인 Wegmans에서 데이터 유출 사고 발생  (0) 2021.06.21

관련글 더보기

댓글 영역

티스토리툴바