0xNews - 리눅스와 도커 인스턴스를 대상으로 하는 웜 DarkRadiation 랜섬웨어 활동 경고
0xNews - 리눅스와 도커 인스턴스를 대상으로 하는 웜 DarkRadiation 랜섬웨어 활동 경고
트렌드마이크로 발표
리눅스와 도커 Docker 클라우드 컨테이너를 대상으로 한 Bash DarkRadiation 이라는 새로운 랜섬웨어 정보 공개
C2 Command-and-Control 통신을 위해 텔레그램 Telegram 사용 확인
이번에 발견된 랜섬웨어는 Bash 쉘 스크립트 기반으로 작성
RedHat / CentOS / Debian 등 리눅스 배포판을 대상으로 함
이 랜섬웨어는 CBC 모드와 함께 OpenSSL 의 AES 알고리즘을 사용
다양한 디렉토리의 파일을 암호화
텔레그램의 API 를 사용하여 공격자에게 감염 상태를 전송
현재까지 랜섬웨어의 전파 방법이나 피해 사례는 확인되지 않고 있음
이번 발견은 api_attack 라는 디렉토리에 있는 미확인 위협 행위자의 인프라 IP 주소 185.141.25.168 에서 호스팅되는 해킹 도구 세트를 분석하여 얻은 결과
이 해킹 도구 세트는 트위터 사용자에 의해 처음 발견
Hint: Your linux unexpectedly began sending messages to #telegram? Just watch man 8 mon !https://t.co/9lkFHe9SUD pic.twitter.com/tUtt7dmL1I
— ⛏️ r3dbU7z (@r3dbU7z) May 28, 2021
virustotal 의 해당 랜섬웨어 등록 사이트 링크
DarkRadiation 의 감염 체인 infection chain 은 다단계 공격 프로세스를 포함
Bash 스크립트에 대한 광범위한 의존으로 악성 코드를 검색하고 파일을 암호화하고 텔레그램 API 를 사용
하드코딩된 API 키를 통해 C2 서버와 통신
현재 개발 중인 랜섬웨어는 난독화 기법을 활용
node-bash-obfuscate 라는 오픈소스 도구를 사용
Bash 스크립트를 스크램블하여 코드를 여러번 분할
이후 각 세그먼트와 변수 참조가 있는 원본 스크립트에 할당하고 대체
Github 의 해당 오픈소스 링크
https://github.com/willshiao/node-bash-obfuscate
실행 시 DarkRadiation 은 루트 사용자로 실행되는지 확인
그렇다면 상승된 권한을 사용하여 wget, curl, openssl 라이브러리를 다운로드하고 설치
현재 유닉스 컴퓨터 시스템에 로그인한 사용자에 대해 주기적인 스냅샷 생성
5초마다 who 명령을 사용하여 결과를 텔레그램 API 를 사용하여 공격자가 제어하는 서버로 전송
감염된 기기에서 이들 중 하나라도 사용할 수 없는 경우
악성코드는 RedHat / CentOS 와 같은 리눅스 배포판에서 널리 사용된 파이썬 Python 기반 패키지 관리자인 yum Yellowdog Updater, Modified 을 사용
필요한 도구를 다운로드하려고 시도
이번 랜섬웨어 분석을 함께한 SentinelOne 분석 사이트 링크
감염 공격 마지막으로 랜섬웨어는 손상된 시스템에서 사용 가능한 모든 사용자 목록을 검색하고 기존 사용자 암호를 megapassword 로 덮어쓰고 모든 쉘 사용자를 삭제
하지만 사용자 이름 ferrum 을 사용하여 신규 사용자를 만들기 전까지 삭제하지 않음
또한 암호를 MegPw0rD3 입력하여 암호화 프로세스 진행
SentinelOne 은 사용자 ferrum 의 암호가 공격자의 C2 서버에서 몇 가지 버전으로 다운로드되는 반면 다른 버전에서는 '$ MeGaPass123 #' 과 같은 문자열로 하드 코딩되어 맬웨어 배포와 공격이 진행되고 있음을 확인
다양한 버전으로 공격하는 것으로 파악
트렌드마이크로 분석팀은 이번 랜섬웨어의 특이한 점은 암호화된 파일의 파일 확장자를 방사능 기호 ('.☢') 를 추가한다는 점을 확인
공격과 관련된 두번째 이동 부분은 SSH 프로토콜을 사용
대상 시스템에 연결하고 결국 랜섬웨어를 다운로드하고 실행하는데 사용되는 base64 인코딩 매개 변수의 형태
자격 증명 구성을 수신하도록 설계된 SSH 웜
실행 상태를 암호화 키와 함께 API 를 통해 공격자의 텔레그램 채널로 다시 보고하는 것 외 DarkRadiation 은 감염된 컴퓨터에서 실행 중인 모든 도커 컨테이너를 중지하거나 비활성화하는 기능 보유
쉘 스크립트 언어로 작성된 맬웨어를 사용하면 공격자가 다목적일 수 있고 일반적인 탐지 방법에 대해 회피 가능
스크립트를 재컴파일할 필요가 없기 때문에 더 빠르게 반복 유포 가능
또한 일부 보안 소프트웨어는 정적 파일 서명에 의존하기 때문에 빠른 반복과 간단한 난독화 도구를 사용하여 완전히 다른 스크립트를 생성하여 손쉽게 회피할 수 있음
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.