트렌드마이크로에 따르면, 리눅스(Red Hat, CentOS, Debian)와 Docker 클라우드 컨테이너를 노리는 새로운 랜섬웨어인 DarkRadiation이 발견되었다고 밝혔다.
해외 보안연구원들은 악성코드가 감염된 시스템에서 모든 도커 컨테이너를 중지 및 비활성화시킨 후 랜섬노트를 생성하는 것도 가능하다고 전해 국내 이용자들도 각별히 주의해야 한다.
이 랜섬웨어는 오픈SSL의 AES 알고리즘과 CBC 모드를 사용해 파일을 암호화하고, C2 통신에 텔레그램 API를 사용한다. 또한 파일을 암호화한 후 파일 이름에 방사성 기호를 추가하고 있다.
트렌드마이크로는 이 랜섬웨어 분석 결과를 다음과 같이 발표했다.
api_attack 디렉토리에는 우리가 DarkRadiation이라 명명한 다양한 Bash 랜섬웨어 버전과 이 랜섬웨어를 확산시키는 역할을 하는 SSH 웜이 들어있었다. 이 디렉토리 내 Supermicro_cr_third 스크립트는 랜섬웨어의 가장 완전한 버전인 것으로 판단된다. 이 스크립트는 Bash 스크립트 툴을 난독화하는 Node.js CLI 툴 및 라이브러리인 node-bash-obfuscate라는 오픈소스 툴로 난독화되었다고 설명했다.
DarkRadiation 랜섬웨어는 먼저 루트로 실행되는지 확인한 후 권한이 있을 경우 Wget, cURL, OpenSSL이 설치되었는지 확인한다. 설치되지 않은 것으로 확인될 경우 악성코드가 이를 다운로드 및 설치한다.
한편 센티넬원 연구원들은 위 툴 중 하나라도 사용할 수 없을 경우, 악성코드가 레드햇(RedHat)과 CentOS 등 인기있는 리눅스 배포판에서 폭넓게 사용하는 파이썬 기반 패키지 매니저인 YUM(Yellowdog Updater Modified)을 통해 필요한 툴을 다운로드한다고 덧붙였다.
이 악성코드가 사용하는 함수 중 하나인 bot_who는 운영자가 “who” 명령을 사용해 유닉스 컴퓨터 시스템에 현재 로그인한 사용자의 스냅샷을 찍을 수 있도록 하는 Bash 스크립트다. 또한 그 결과를 숨겨진 파일인 “/tmp/.ccw”에 저장한다.
해당 스크립트는 “who” 명령을 매 5초마다 실행하고 아웃풋인 “.ccw” 파일을 확인한다. 새로운 사용자가 로그인하면, 악성코드는 텔레그램의 API를 사용하여 공격자에게 메시지를 전송한다.
파일을 암호화하기 전에 랜섬웨어는 “/etc/shadow” 파일을 쿼리해 감염된 시스템의 모든 사용자 목록을 받아온다.
이후 모든 사용자 비밀번호를 “megapassword”로 덮어쓰기하고 존재하는 모든 사용자를 삭제한다.
그런 다음, 악성코드는 사용자 이름 “ferrum”, 비밀번호 “MegPw0rD3”인 새로운 사용자를 생성한 후 “usermod –shell /bin/nologin” 명령을 실행해 감염된 시스템에 존재하는 모든 기존 셸 사용자를 비활성화한다.
국내 이용자들의 각별한 주의가 필요하다.
◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)
-개최일: 2021년 7월 6일(화)
-장소: 서울 양재동 더케이호텔서울 2층 가야금홀
-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명
-보안교육이수: 7시간 인정
-비용: 병원 및 의료 관련 공무원은 무료 참관 (이외 유료)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★