DarkRadiation 랜섬웨어, 리눅스와 도커 클라우드 컨테이너 노려

트렌드마이크로에 따르면, 리눅스(Red Hat, CentOS, Debian)와 Docker 클라우드 컨테이너를 노리는 새로운 랜섬웨어인 DarkRadiation이 발견되었다고 밝혔다.

해외 보안연구원들은 악성코드가 감염된 시스템에서 모든 도커 컨테이너를 중지 및 비활성화시킨 후 랜섬노트를 생성하는 것도 가능하다고 전해 국내 이용자들도 각별히 주의해야 한다.

이 랜섬웨어는 오픈SSL의 AES 알고리즘과 CBC 모드를 사용해 파일을 암호화하고, C2 통신에 텔레그램 API를 사용한다. 또한 파일을 암호화한 후 파일 이름에 방사성 기호를 추가하고 있다.

트렌드마이크로는 이 랜섬웨어 분석 결과를 다음과 같이 발표했다.

api_attack 디렉토리에는 우리가 DarkRadiation이라 명명한 다양한 Bash 랜섬웨어 버전과 이 랜섬웨어를 확산시키는 역할을 하는 SSH 웜이 들어있었다. 이 디렉토리 내 Supermicro_cr_third 스크립트는 랜섬웨어의 가장 완전한 버전인 것으로 판단된다. 이 스크립트는 Bash 스크립트 툴을 난독화하는 Node.js CLI 툴 및 라이브러리인 node-bash-obfuscate라는 오픈소스 툴로 난독화되었다고 설명했다.

DarkRadiation 랜섬웨어는 먼저 루트로 실행되는지 확인한 후 권한이 있을 경우 Wget, cURL, OpenSSL이 설치되었는지 확인한다. 설치되지 않은 것으로 확인될 경우 악성코드가 이를 다운로드 및 설치한다.

한편 센티넬원 연구원들은 위 툴 중 하나라도 사용할 수 없을 경우, 악성코드가 레드햇(RedHat)과 CentOS 등 인기있는 리눅스 배포판에서 폭넓게 사용하는 파이썬 기반 패키지 매니저인 YUM(Yellowdog Updater Modified)을 통해 필요한 툴을 다운로드한다고 덧붙였다.

이 악성코드가 사용하는 함수 중 하나인 bot_who는 운영자가 “who” 명령을 사용해 유닉스 컴퓨터 시스템에 현재 로그인한 사용자의 스냅샷을 찍을 수 있도록 하는 Bash 스크립트다. 또한 그 결과를 숨겨진 파일인 “/tmp/.ccw”에 저장한다.

해당 스크립트는 “who” 명령을 매 5초마다 실행하고 아웃풋인 “.ccw” 파일을 확인한다. 새로운 사용자가 로그인하면, 악성코드는 텔레그램의 API를 사용하여 공격자에게 메시지를 전송한다.

파일을 암호화하기 전에 랜섬웨어는 “/etc/shadow” 파일을 쿼리해 감염된 시스템의 모든 사용자 목록을 받아온다.

이후 모든 사용자 비밀번호를 “megapassword”로 덮어쓰기하고 존재하는 모든 사용자를 삭제한다.

그런 다음, 악성코드는 사용자 이름 “ferrum”, 비밀번호 “MegPw0rD3”인 새로운 사용자를 생성한 후 “usermod –shell /bin/nologin” 명령을 실행해 감염된 시스템에 존재하는 모든 기존 셸 사용자를 비활성화한다.

국내 이용자들의 각별한 주의가 필요하다.

◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)

-개최일: 2021년 7월 6일(화)

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명

-보안교육이수: 7시간 인정

-비용: 병원 및 의료 관련 공무원은 무료 참관 (이외 유료)