Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Linux와 Docker 인스턴스를 타겟으로 한 랜섬웨어
작성일 2021-06-23 조회 98

 

 

사이버 보안 연구원들은 "DarkRadiation"이라는 새로운 랜섬웨어 변종을 공개했다. 이 변종은 완전히 Bash 언어로 구현되었고, Linux와 Docker cloud 컨테이너를 타겟으로 하며, C2 통신에 메시징 서비스인 Telegram을 사용한다.

 

Trend Micro는 지난 달 공개된 리포트에서 "이 랜섬웨어는 Bash 스크립트로 작성되었고 Red Hat/CentOS/Debian Linux 배포판을 대상으로 한다. 이 맬웨어는 OpenSSL의 AES 알고리즘과 CBC모드로 여러 디렉토리의 파일을 암호화한다. 또한, Telegram API를 이용해 위협 행위자에게 감염 상태를 보낸다." 라고 말했다.

 

HackerNews는 해당 기사가 업로드된 시점에는 랜섬웨어 전달 방법이나 실제 공격에서 랜섬웨어가 배포되었다는 증거는 없다고 전했다.

 

api_attack이라는 디렉토리에 있는 식별되지 않은 위협 행위자의 인프라(185.141.25.168)를 통해 이번 발견이 가능했다. 5월 28일, 해당 IP에서 호스팅 되는 해킹 툴 모음 분석을 통해 @r3dbU7z라는 트위터 사용자에 의해 처음 발견됐다.

 

DarkRadiation의 감염 변종은 여러 단계의 공격 프로세스와 관련되어 있고, 맬웨어를 검색하고 하드코딩된 API 키를 이용해 C2와 통신을 위한 Telegram API, 파일을 암호화하기 위해 Bash 스크립트에 대한 광범위하게 의존하는 것으로 유명하다.

 

 

 

[ 그림1. 암호화 프로세스 ]

 

 

 

 

현재 개발 중인 랜섬웨어는 "node-bash-obfuscate" 라는 오픈 소스 도구를 통해 Bash 스크립트를 섞고 코드를 여러 청크로 분할한 다음 각 세그먼트에 변수 이름을 할당하고 원래의 스크립트를 변수 레퍼런스로 대체하여 난독화한다.

 

DrakRadiation은 실행 시 root 사용자로 실행되는지 확인한다. 만약 root 권한으로 실행 중이라면 상승된 권한으로 wget, curl, OpenSSL 라이브러리를 다운로드 및 설치한다. 그 후, 5초마다 who 명령어를 사용해 Unix 시스템에 현재 로그인된 사용자의 스냅샷을 찍는다. 이 결과는 Telegram API를 통해 공격자가 통제하는 서버로 유출된다.

 

월요일에 공개된 Writeup에서 SentinelOne 연구원은 "이것들은 어떤 것이든 감염된 기기에서 사용할 수 없다면 맬웨어는 필요한 툴을 YUM을 통해 다운로드하려고 시도한다." 라고 설명했다.

 

해당 랜섬웨어는 감염의 마지막 단계에서 손상된 시스템에서 사용할 수 있는 모든 사용자의 목록을 가져와 기존 사용자의 비밀먼호를 "megapassword"로 덮어쓰고 모든 쉘 사용자를 삭제한다. 

 

 

 

[ 그림2. Worm처럼 퍼지는 기능 ]

 

 

 

 

SentinelOne은 분석을 통해 몇몇 버전에서 ferrum 이름을 가진 사용자에 대한 패스워드를 C2 서버로부터 다운로드한다는 것을 발견했다. 하지만, 이 외 다른 버전에서는 "$MeGaPass123#"와 같은 문자열로 하드코딩되어 있다.

 

Trend Micro 위협 연구원 Aliakbar Zahravi는 "랜섬웨어는 암호화된 파일에 대해 파일 확장자로 방사능 기호('.☢')를 사용하는 점을 유의해야 한다" 라고 말했다.

 

공격과 관련된 두 번째 봐야할 부분은 SSH 웜과 관련한 내용이다. SSH 웜은 base64 인코딩 파라미터 형태로 크레덴셜 설정을 받는데, 이 파라미터는 SSH 프로토콜을 이용해 타겟 시스템에 접속하고 결국 랜섬웨어를 다운로드 및 실행한다.

 

실행 상태를 보고하는 것 뿐만 아니라 암호화 키를 가지고 API를 통해 공격자의 Telegram 채널로 돌아오면 DarkRadiation은 감염된 장치에서 실행 중인 모든 Docker 컨테이너를 중지하거나 비활성할 수 있다. 그 후에 랜섬노트가 사용자에게 출력된다.     

 

SentinelOne 연구원은 "쉘 스크립트 언어로 작성된 맬웨어를 사용하면 공격자가 다목적으로 사용할 수 있고 일반적인 탐지 방법을 피할 수 있다. 스크립트를 재 컴파일 할 필요가 없기 때문에 더 빠르게 반복 할 수 있다. 또한, 일부 보안 소프트웨어는 정적 파일 서명에 의존하기 때문에 빠른 반복과 간단한 난독화 도구를 사용하여 완전히 다른 스크립트를 생성하여 이 부분도 쉽게 회피 할 수 있다." 라고 말했다.

 

 

 

 

 

출처

https://thehackernews.com/2021/06/wormable-darkradiation-ransomware.html

첨부파일 첨부파일이 없습니다.
태그 DarkRadiation  SentinelOne