Wormable DarkRadiation勒索软件针对Linux和Docker实例

网络安全研究人员正在敲响警钟，敲响一种名为黑暗的“这完全在Bash中实现，目标是Linux和Docker云容器，同时依靠消息服务Telegram进行指挥和控制（C2）通信。

Trend Micro的研究人员在上周发布的一份报告中说：“勒索软件是用Bash脚本编写的，目标是Red Hat/CentOS和Debian Linux发行版。”。“该恶意软件使用OpenSSL的AES算法和CBC模式对不同目录中的文件进行加密。它还使用Telegram的API向威胁参与者发送感染状态。”

截至撰写本文时，还没有关于交付方法的信息，也没有证据表明勒索软件已被部署在现实世界的攻击中。

这些发现来自于对一系列黑客工具的分析，这些工具托管在一个名为“api_攻击”的目录下，该匿名威胁参与者的基础设施（IP地址“185.141.25.168”）上5月28日，Twitter用户@r3dbU7z首次注意到该工具集。

DarkRadiation的感染链涉及多阶段攻击过程，值得注意的是，它广泛依赖Bash脚本来检索恶意软件和加密文件，以及通过硬编码API密钥与C2服务器通信的电报API。

加密过程

据说勒索软件正在积极开发中，它利用模糊处理策略，使用一个名为“node Bash obfuscate”的开源工具对Bash脚本进行置乱，将代码分成多个块，然后为每个段分配一个变量名，并用变量引用替换原始脚本。

执行时，DarkRadiation会检查它是否以root用户身份运行，如果是，则使用提升的权限下载和安装Wget、cURL和OpenSSL库，并每隔五秒钟使用“who”命令定期拍摄当前登录到Unix计算机系统的用户的快照，然后使用Telegram API将结果过滤到攻击者控制的服务器。

SentinelOne的研究人员在一篇关于DarkRadiation的平行文章中解释说：“如果这些库中的任何一个在受感染的设备上不可用，恶意软件就会尝试使用YUM（Yellowdog Updater，Modified）下载所需的工具。YUM是一种基于python的包管理器，被RedHat和CentOS等流行的Linux发行版广泛采用。”星期一

勒索软件在感染的最后阶段，检索受损系统上所有可用用户的列表，用“megapassword”覆盖现有用户密码，并删除所有外壳用户，但在创建用户名为“ferrum”和密码为“MegPw0rD3”的新用户以继续加密过程之前。

蠕虫传播功能

有趣的是，SentinelOne的分析揭示了不同的变体，其中用户“ferrum”的密码在几个版本中从攻击者的C2服务器下载，而在其他版本中，它是用“$MeGaPass123#”等字符串硬编码的，这意味着恶意软件在实际部署之前正在经历快速变化。

“必须注意的是，勒索软件附加了放射性符号（“.☢；”）作为加密文件的文件扩展名，”Trend Micro threat研究人员Aliakbar Zahravi说。

与攻击相关的第二个移动部分是SSH蠕虫，它被设计为以base64编码参数的形式接收凭据配置。随后，该编码参数用于使用SSH协议连接到目标系统，并最终下载并执行勒索软件。

除了通过API向对手的电报通道报告执行状态和加密密钥外，DarkRadiation还具有停止和禁用受感染机器上所有正在运行的Docker容器的功能，之后会向用户显示赎金通知。

SentinelOne的研究人员说：“用shell脚本语言编写的恶意软件使攻击者能够更加灵活，避免一些常见的检测方法。”。

“由于脚本不需要重新编译，因此可以更快地对其进行迭代。此外，由于一些安全软件依赖于静态文件签名，因此可以通过快速迭代和使用简单的模糊处理工具生成完全不同的脚本文件来轻松避免这些问题。”