皇冠登1登2登3(www.9cx.net):Bash 勒索软件 DarkRadiation 以基于 Red Hat 和 Debian 的 Linux 刊行版为目的

AllbetGmaing客户端下载

欢迎进入AllbetGmaing客户端下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

研究职员观察了若何使用某些黑客工具在受害者网络上横向移动以部署勒索软件。这些工具包罗侦探/流传剧本、针对 Red Hat 和 CentOS 的破绽行使、二进制注入程序等。在本文中,研究职员重点剖析蠕虫和勒索软件剧本。

最近发现的 Bash 勒索软件以多种方式激起了研究职员的兴趣,经由观察,研究职员发现攻击链完全以 bash 剧本的形式实现,但剧本似乎仍在开发中。这次攻击的大部门组件主要针对 Red Hat 和 CentOS Linux 刊行版。然则,在某些剧本中也包罗基于 Debian 的 Linux 刊行版。蠕虫和勒索软件剧本还使用新闻应用程序 Telegram 的 API 举行下令和控制 (C&C) 通讯。研究职员还发现,此攻击的大多数组件在 Virus Total 中的检测数都异常低。Twitter用户@r3dbU7z,最初讲述了带有勒索软件信息的黑客工具URL。

在本文的下一部门中,研究职员将剖析“api_attack/”目录的内容,其中包罗平安Shell (SSH) 蠕虫和勒索软件剧本。

攻击先容

以下是黑客工具的列表和概述。研究职员考察到其中一些剧本基于开源代码。例如,binaryinject1.so 是名为“libprocesshider”的 rootkit 的修改版本,它使用 ld 预加载程序和“pwd.c”(“CVE-2017-1000253.c”)在 Linux 下隐藏历程,这是一个公然可用的针对 CentOS 7 内核版本 3.10.0-514.21.2.el7.x86_64 和 3.10.0-514.26.1.el7.x86_64 的破绽行使。

攻击者的黑客工具目录

在所有这些工具中,“api_attack/”的内容引起了研究职员的注重。 “api_attack”目录包罗研究职员命名为 DarkRadiation 的种种版本的 Bash 勒索软件,以及认真流传该勒索软件的 SSH 蠕虫。该目录中的“Supermicro_cr_third”剧本似乎是该勒索软件的最完整版本。该剧本使用名为“node-bash-obfuscate”的开源工具举行了混淆,该工具是用于混淆 bash 剧本的 Node.js CLI 工具和库。

攻击者的 /api_attack 黑客工具目录

攻击者的恶意软件托管目录

此目录中的大多数剧本在“病毒总数”中未检测到任何病毒:

检测到的病毒效果

恶意软件剖析

在本节中,研究职员将仔细研究蠕虫和勒索软件剧本。

SSH蠕虫

“downloader.sh”是一种 SSH 蠕虫,它接受 base64 编码的设置凭证作为参数。这些凭证要么在受害者的系统上取得开端驻足点后由攻击者转储,要么用作针对密码珍爱较弱的系统的暴力攻击列表。从本质上讲,恶意软件会检查给定的设置是否设置为使用 SSH 密码攻击或 SSH 密钥基础攻击,它还可以针对目的 IP 地址测试 SSH 密码或 SSH 密钥。乐成毗邻后,恶意软件会在远程系统上下载并执行勒索软件。以下是解码后输入到剧本的花样凭证:


以下代码片断演示了该恶意软件的这种行为:

蠕虫入口函数

check_ssh_connection 函数返回代码:0 示意乐成毗邻,代码:254 示意 ping 错误,代码:255 示意 SSH 毗邻错误,包罗密码和密钥。该恶意软件使用 sshpass 适用程序来使用非交互式 SSH 密码身份验证。

在 SSH 内联密码的情形下,恶意软件会设置 sshpass 参数“passwordauthentication=yes”。它将勒索软件剧本存储在“/usr/share/man/man8/”目录中并执行。为了在 SSH 会话终止的情形下保持历程运行,恶意软件使用 screen session 和 nohup 下令。

蠕虫侦探和流传功效

恶意软件通过对其 C&C 服务器的 API 挪用获取加密密码 ($crypt_pass),并将其转达给 supermicro_cr.gz 剧本。

请求加密密钥

该恶意软件具有 install_tools 函数,可以在未安装的情形下下载并安装需要的适用程序。基于此功效,研究职员可以看到该蠕虫只下载并安装基于 CentOS 或 RHEL 的 Linux 刊行版的必备包,由于它仅使用 Yellowdog Updater, Modified (YUM) 担保理器。其他一些黑客工具以及 DarkRadiation 勒索软件变体仅使用 YUM 来下载和安装必备软件包。

先决条件包安装

最后,恶意软件通过 Telegram 的 API 向攻击者讲述扫描/流传效果:

恶意软件将执行状态发送到攻击者的 Telegram 通道。

DarkRadiation 勒索软件

在上一节中,研究职员讨论了 SSH 蠕虫剧本,它吸收凭证设置作为 base64 参数,并将其用于目的系统以下载和执行勒索软件。

在本节中查看勒索软件的种种迭代,研究职员观察了名为“supermicro_cr_third”的剧本,它似乎是最新版本。勒索软件是用 bash 剧本编写的,目的是 Red Hat/CentOS 和 Debian Linux 刊行版。该恶意软件使用 OpenSSL 的 AES 算法和 CBC 模式来加密种种目录中的文件。它还使用 Telegram 的 API 向攻击者发送熏染状态。

研究职员考察到这个剧本正在大量开发中,这个勒索软件的各个版本都相似,只有很小的转变。一些函数被恶意软件开发者注释,而一些函数在某些情形下没有使用(死代码)。在本节中,研究职员将详细讨论该勒索软件的事情原理。

该剧本使用一个名为“node-bash-obfuscate”的开源工具举行了混淆,该工具是一种用于混淆 bash 剧本的 Node.js CLI 工具和库。该工具将 bash 剧天职成块,然后为每个块分配变量名,并用变量引用替换原始剧本,现实上打乱了原始剧本。

以下代码片断演示了若何使用此脚原本混淆 bash 剧本:

node-bash-obfuscate 选项

node-bash-obfuscate 示例输出

皇冠登1登2登3

www.9cx.net)实时更新发布最新最快最有效的登1登2登3代理网址,包括新2登1登2登3代理手机网址,新2登1登2登3代理备用网址,皇冠登1登2登3代理最新网址,新2登1登2登3代理足球网址,新2网址大全。

supermicro_cr_third剖析:

supermicro_cr_third 混淆剧本

执行时,恶意软件会检查它是否以 root 身份执行;若是没有,它会显示“请以 root 身份运行”新闻,自行删除并退出。

supermicro_cr_third 主函数

检查剧本是否以 root 身份运行

然后检查是否安装了 curl 和 OpenSSL;若是不是,恶意软件就会下载并安装它们。

supermicro_cr_third 中的必备软件包安装

supermicro_cr_third 中的必备包安装

bot_who 函数是一个 bash 剧本,它使用“who”下令获取当前登录到 Unix 盘算机系统的用户的快照,它将效果存储在一个名为“/tmp/.ccw”的隐藏文件中。之后,它每五秒再次执行“who”下令并检查输出的“.ccw”文件。若是它们不相等(新用户登录),恶意软件会通过 Telegram 的 API 向攻击者发送一条新闻:

supermicro_bt 剧本

在加密历程之前,勒索软件通过查询“/etc/shadow”文件检索受熏染系统上所有可用用户的列表。它用“megapassword”笼罩所有现有用户密码,并删除除“ferrum”之外的所有现有用户。之后,恶意软件从其设置部门确立一个新用户,用户名“ferrum”,密码“MegPw0rD3”。它执行“usermod --shell /bin/nologin”下令来禁用受熏染系统上的所有现有shell用户:

supermicro_cr_third 设置

supermicro_cr_third 中的 user_change 函数

一些勒索软件变种试图删除除用户名“ferrum”和“root”之外的所有现有用户:

crypt3.sh 中的 user_change 函数

它还检查 C&C 服务器中是否存在“0.txt”。若是不存在,恶意软件将不执行加密历程并休眠 60 秒,然后再次实验。必须注重,wget 将使用“--spider”选项挪用,以检查给定 URL 中是否存在“0.txt”。

loop_wget_telegram 函数

/check_attack目录

为了加密,勒索软件在 CBC 模式下使用 OpenSSL 的 AES 算法。恶意软件通过蠕虫剧本转达的下令行参数获取加密密码:

supermicro_cr_third 项设置

需要注重的是,其他版本的加密路径可能差异。Super_micro_third使用名为crypt_file.sh的单独剧本举行文件加密。然则,supermicro_cr等其他变体自己举行了文件加密。此外,必须注重的是,勒索软件附加放射性符号(“”)作为一个加密文件的文件扩展名。

super_micro_third 加密历程

supermicro_cr 加密函数

恶意软件通过 Telegram 的 API 将加密状态发送给攻击者:

Telegram设置

该恶意软件还会住手并禁用受熏染系统上所有正在运行的 Docker 容器,并确立赎金纪录:

赎金通知

总结

总体而言,攻击者使用种种黑客工具在受害者网络上横向移动以部署勒索软件。这些黑客工具包罗侦探/流传剧本、针对 Red Hat 和 CentOS 的破绽行使、二进制注入程序 (libprocesshider rootkit) 等。然则,大多数工具在 Virus Total 中的检测数都异常低,似乎有些剧本仍处于开发阶段。

另有其他值得注重的因素,蠕虫和勒索软件剧本能够通过 Telegram API 与攻击者通讯并直接接见 C&C 服务器。勒索软件可以删除受熏染系统上的所有用户(只管在某些变体中它保留了 root 用户),而且可以仅为攻击者确立一个帐户。至于文件加密,勒索软件使用 OpenSSL 的 AES 算法来加密具有特定扩展名的文件或给定目录中的所有文件。

在本文中,研究职员重点剖析了蠕虫和 supermicro_tr_third 勒索软件剧本。研究职员发现勒索软件被一个名为“node-bash-obfuscate”的开源工具混淆,这是一个用于混淆 bash 剧本的 Node.js CLI 工具和库。

本文翻译自:https://www.trendmicro.com/en_us/research/21/f/bash-ransomware-darkradiation-targets-red-hat--and-debian-based-linux-distributions.html

  • 评论列表:
  •  皇冠登1登2登3(www.22223388.com)
     发布于 2021-12-07 00:04:00  回复
  • 6月18日,上午9:30离最先是青浦、奉贤、宝山的4宗旧改地块,下昼14:00最先市中央杨浦、徐汇、静安、普陀4宗重磅涉宅地块和临港5宗地块同时最先竞拍,其中杨浦区1幅,自贸区临港5幅,静安1幅,徐汇区1幅,普陀区1幅。可以了,很顾读者感受

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。