网络安全研究人员对一种名为“DarkRadiation”的新型勒索软件敲响了警钟,该软件完全用Bash实现,以Linux和Docker云容器为目标,同时指望消息服务Telegram进行指挥控制(C2)通信。
“这个勒索软件是用Bash脚本编写的,目标是Red Hat/CentOS和Debian Linux发行版,”趋势科技的研究人员在上周发布的一份报告中说。恶意软件使用OpenSSL的AES算法和CBC模式加密不同目录下的文件。它还使用Telegram的API向威胁参与者发送感染状态。”
截至撰写这篇文章时,还没有关于发送方式的信息,也没有证据表明这种勒索软件已经在现实世界的攻击中部署过。
这些发现来自对托管在未知威胁参与者的基础设施(IP地址为“185.141.25.168”)上的一个名为“api_attack”目录中的黑客工具集合的分析。5月28日,Twitter用户@r3dbU7z首次注意到该工具集。
DarkRadiation的感染链涉及一个多阶段的攻击过程,值得注意的是,它广泛依赖于Bash脚本来检索恶意软件,加密文件,以及Telegram API来通过硬编码的API密钥与C2服务器通信。
据称该勒索软件正在积极开发中,它利用一种名为“node-bash-obfuscate”的开源工具,利用模糊策略扰乱Bash脚本,将代码分割为多个块,然后为每个段分配一个变量名,并用变量引用替换原始脚本。
在执行,DarkRadiation检查如果作为根用户运行,如果是这样的话,使用权限下载和安装Wget升高,卷发,和OpenSSL库,和需要一个周期快照当前登录用户的Unix计算机系统使用“谁”命令每五秒,然后使用Telegram API将其结果泄露给攻击者控制的服务器。
“如果这些[库]在受感染的设备上不可用,恶意软件试图使用YUM (Yellowdog Updater, Modified)下载所需的工具,一个基于python的包管理器被广泛采用的流行Linux发行版,如RedHat和CentOS,”SentinelOne的研究人员在周一发表的一篇平行的DarkRadiation文章中解释道。
ransomware,感染的最后阶段,获取所有可用的列表用户破坏系统,覆盖现有的用户密码”megapassword”,和删除所有shell用户,但在此之前,创建一个新的用户用户名“铁”和密码“MegPw0rD3”来进行加密过程。
有趣的是,SentinelOne的分析揭示了不同的变体,用户“ferrum”的密码从攻击者的C2服务器下载了几个版本,而在其他版本中,它是硬编码的字符串,如“$MeGaPass123#”,这意味着恶意软件在实际部署之前正在经历快速变化。
趋势科技威胁研究员Aliakbar Zahravi说:“必须注意的是,这种勒索软件会把放射性符号(‘.☢’)作为加密文件的扩展名。”
与攻击相关的第二个移动部分是SSH蠕虫,它被设计为接收base64编码参数形式的凭据配置。随后,使用这个编码参数使用SSH协议连接到目标系统,并最终下载和执行勒索软件。
除了报告执行状态,以及加密密钥,通过API返回到对手的Telegram通道,DarkRadiation还提供了停止和禁用受感染机器上所有运行的Docker容器的能力,之后将向用户显示赎金通知。
SentinelOne的研究人员表示:“用shell脚本语言编写的恶意软件让攻击者变得更加多才多艺,并避免了一些常见的检测方法。”
因为脚本不需要重新编译,所以可以更快地迭代它们。此外,由于一些安全软件依赖于静态文件签名,这些可以很容易地通过快速迭代和使用简单的模糊器工具来生成完全不同的脚本文件来规避。”
极牛网精选文章《针对Linux和Docker实例的蠕虫DarkRadiation勒索软件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/14688.html