연구원들은 새로운 DarkRadation 랜섬웨어에 대해 경고했습니다.

트렌드마이크로 사이버 보안 전문가 경고 DarkRadation이라는 새로운 랜섬웨어. 맬웨어는 Red Hat/CentOS 및 Debian Linux 배포판을 공격하도록 설계되었습니다.. C와 통신하려면&C 서버, 공격자는 텔레그램 메신저를 사용합니다..

멀웨어는 AES를 사용합니다. (고급 암호화 표준) 다양한 디렉토리의 파일을 암호화하는 CBC 모드의 대칭 블록 암호 알고리즘. 현재 시점에서, 맬웨어를 전파하는 데 사용된 방법에 대한 정보가 없습니다., 실제 공격에 랜섬웨어가 사용되었다는 증거가 없습니다..

해당 정보는 api_attack 디렉토리 내 미확인 공격자의 인프라에 호스팅된 일련의 해킹 도구 분석 결과 획득. api_attack 폴더에는 여러 버전의 DarkRadation 및 SSH 웜이 포함되어 있습니다. (다운로더.sh) 악성코드 유포 책임.

랜섬웨어가 활발하게 개발 중입니다., 난독화를 위해 오픈 소스 도구인 node-bash-obfuscate를 사용합니다., 코드를 여러 조각으로 나눌 수 있습니다., 그런 다음 각 세그먼트에 변수 이름을 할당하고 원래 스크립트를 변수에 대한 참조로 바꿉니다..

대부분의 도구는 Virus Total에서 탐지 수가 매우 낮습니다.. 일부 스크립트는 아직 개발 단계에 있는 것 같습니다..연구원들은 말한다.

DarkRadation은 루트로 시작되었는지 확인하고 상승된 권한을 사용하여 Wget을 다운로드 및 설치합니다., cURL 및 OpenSSL 라이브러리. 소프트웨어는 또한 주기적으로 다음을 사용하여 Unix 시스템에 로그인한 사용자에 대한 정보를 수집합니다. “WHO” 5초마다 명령. 그런 다음 데이터는 Telegram API를 사용하여 공격자가 제어하는 ​​서버로 전송됩니다..

공격의 마지막 단계에서, 멀웨어는 손상된 시스템에서 사용 가능한 모든 사용자 목록을 생성합니다., 기존 암호를 megapassword로 덮어쓰고 모든 셸 사용자를 삭제합니다., 암호화 프로세스를 계속하려면 새 사용자 ferrum 및 암호 MegPw0rD3을 생성하기 전에.

랜섬웨어는 감염된 시스템의 모든 사용자를 삭제할 수 있습니다. (일부 변형에서는 루트 사용자를 유지하지만) 공격자에 대해서만 계정을 생성할 수 있습니다.. 파일 암호화의 경우, 랜섬웨어는 OpenSSL의 AES 알고리즘을 사용하여 특정 확장자를 가진 파일 또는 지정된 디렉토리의 모든 파일을 암호화합니다..Trend Micro 연구원 작성.

DarkRadation은 또한 감염된 시스템에서 실행 중인 모든 Docker 컨테이너를 비활성화하고 몸값을 생성합니다.. 전문가들에 따르면, 랜섬웨어는 방사능 문자를 추가합니다 (.☢) 암호화된 파일의 확장자로.

DarkRadation에는 아직 설치되지 않은 경우 감염된 시스템에 필요한 유틸리티를 다운로드하여 설치하는 install_tools 기능이 포함되어 있습니다.. 웜은 CentOS 또는 RHEL 기반 Linux 배포판에 필요한 패키지만 다운로드하여 설치합니다., Yellowdog Updater만 사용하기 때문에, 수정됨 (냠) 패키지 관리자.

내가 또한 이상한 멀웨어는 피해자가 해적 사이트를 방문하는 것을 방지합니다..

헬가 스미스

저는 항상 컴퓨터 과학에 관심이있었습니다, 특히 데이터 보안 및 테마, 요즘은 "데이터 과학", 10 대 초반부터. 편집장으로 바이러스 제거 팀에 오기 전, 저는 여러 회사에서 사이버 보안 전문가로 일했습니다., 아마존 계약자 중 한 명 포함. 또 다른 경험: 나는 Arden과 Reading 대학에서 가르치고 있습니다..

회신을 남겨주

이 사이트는 스팸을 줄이기 위해 Akismet 플러그를 사용. 귀하의 코멘트 데이터가 처리되는 방법 알아보기.

맨 위로 버튼