可蠕虫 DarkRadiation 勒索软件瞄准 Linux 和 Docker 实例

上周，趋势科技公司发布报告称，DarkRadiation 使用 OpenSSL 的 AES 算法（CBC 模式）在多个目录中解密文件，它还私用 Telegram 的 API 向威胁行动者发送感染状态。

截至本文写作期间，尚未出现证据表明该勒索软件已部署于真正的攻击中。

分析收集了托管在名为 “api_attack“ 目录的未识别威胁行动者基础设施（IP 地址 “185.141.25.168”）上的黑客工具。该工具集首先由推特用户 @r3dbU7z 在5月28日发现。

DarkRadiation 的感染链牵涉一个多阶段攻击进程且大规模依赖于 Bash 脚本以检索该恶意软件并加密这些文件以及通过 Telegram API 经由硬编码 API 密钥和 C2 服务器通信。

该勒索软件目前还在开发过程中，它通过混淆技术，使用开源工具 “node-bash-obfuscate” 将代码分为多个 chunk，并将变量名称分配给每个片段，以变量引用替代原始脚本，从而组建 Bash 脚本。

执行时，DarkRadiation 检查是否以 root 用户运行，如是，则使用提升后的权限下载并安装 Wget、cURL 和 OpenSSL 库，并每隔五秒钟定期捕捉当前登录到Unix 计算机系统的屏幕，之后通过 Telegram API 将结果交给受攻击者控制的服务器。

SentinelOne 公司的研究人员发布报告指出，“如果受感染设备上不具有任意一种工具，则该恶意软件试图使用 YUM （基于 Python 的包管理器，大量用于流行的 Linux 发行版本如 RedHat 和 CentOS）下载所需工具。“

该勒索软件在最后感染阶段会检索受攻陷系统上的所有可用用户，以 “megapassword” 覆写现有用户的密码，并删除所有的 shell 用户，但之前会创建一名新用户，用户名为 “ferrum”，密码为 “MegPw0rD3”以继续加密过程。

耐人寻味的是，SentinelOne 公司分析指出，用户 “ferrum” 的密码从攻击者的 C2 服务器下载了多个版本，而在另外一些情况下，密码被硬编码为 “$MeGaPass123#” 字符串，这说明该勒索软件在实际部署前正经历着快速变化。趋势科技指出，“必须注意到勒索软件下的加密文件扩展附加了放射符号('.☢') “。

与攻击相关联的第二个发生变化的部分是 SSH 蠕虫旨在获取 base64编码参数（使用 SSH 协议连接至目标系统）形式的凭证配置，最终下载并执行该勒索软件。

除了将执行状态、加密密钥报告给攻击者的 Telegram 频道外，DarkRadiation 还能够停止并禁用在受感染机器上运行的 Docker 容器，之后勒索留言展示给用户。

SentinelOne 公司的研究员指出，“用 shell 脚本语言编写的恶意软件可使攻击者能力更强并避免一些常见的检测方法。由于脚本无需进行重新编译，因此可以非常迅速地迭代。此外，由于某些安全软件依赖于静态文件签名，快速迭代和使用简单的混淆工具就能绕过这些机制，从而生成完全不同的脚本文件。“

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。