Bash 勒索软件 DarkRadiation 以基于 Red Hat 和 Debian 的 Linux 发行版为目标研究人员调查了如何使用某些

研究人员调查了如何使用某些黑客工具在受害者网络上横向移动以部署勒索软件。这些工具包含侦察/传播脚本、针对RedHat和CentOS的漏洞利用、二进制注入程序等。在本文中，研究人员重点分析蠕虫和勒索软件脚本。
最近发现的Bash勒索软件以多种方式激起了研究人员的兴趣，经过调查，研究人员发现攻击链完全以bash脚本的形式实现，但脚本似乎仍在开发中。这次攻击的大部分组件主要针对RedHat和CentOSLinux发行版。但是，在某些脚本中也包含基于Debian的Linux发行版。蠕虫和勒索软件脚本还使用消息应用程序Telegram的API进行命令和控制(C&C)通信。研究人员还发现，此攻击的大多数组件在VirusTotal中的检测数都非常低。 Twitter用户@r3dbU7z ，最初报告了带有勒索软件信息的黑客工具URL 。
在本文的下一部分中，研究人员将分析"api_attack/"目录的内容，其中包含安全Shell(SSH)蠕虫和勒索软件脚本。
攻击介绍
以下是黑客工具的列表和概述。研究人员观察到其中一些脚本基于开源代码。例如， binaryinject1.so是名为"libprocesshider"的rootkit的修改版本，它使用ld预加载程序和"pwd.c"（"CVE-2017-1000253.c"）在Linux下隐藏进程，这是一个公开可用的针对CentOS7内核版本3.10.0-514.21.2.el7.x86_64和3.10.0-514.26.1.el7.x86_64的漏洞利用。

文章图片
攻击者的黑客工具目录在所有这些工具中， "api_attack/"的内容引起了研究人员的注意。 "api_attack"目录包含研究人员命名为DarkRadiation的各种版本的Bash勒索软件，以及负责传播该勒索软件的SSH蠕虫。该目录中的"Supermicro_cr_third"脚本似乎是该勒索软件的最完整版本。该脚本使用名为"node-bash-obfuscate"的开源工具进行了混淆，该工具是用于混淆bash脚本的Node.jsCLI工具和库。

文章图片
攻击者的/api_attack黑客工具目录

文章图片
此目录中的大多数脚本在"病毒总数"中未检测到任何病毒：

文章图片
检测到的病毒结果恶意软件分析
在本节中，研究人员将仔细研究蠕虫和勒索软件脚本。
SSH蠕虫
"downloader.sh"是一种SSH蠕虫，它接受base64编码的配置凭据作为参数。这些凭据要么在受害者的系统上取得初步立足点后由攻击者转储，要么用作针对密码保护较弱的系统的暴力攻击列表。从本质上讲，恶意软件会检查给定的配置是否设置为使用SSH密码攻击或SSH密钥基础攻击，它还可以针对目标IP地址测试SSH密码或SSH密钥。成功连接后，恶意软件会在远程系统上下载并执行勒索软件。以下是解码后输入到脚本的格式凭证：

文章图片
以下代码片段演示了该恶意软件的这种行为：

文章图片
check_ssh_connection函数返回代码：0表示成功连接，代码：254表示ping错误，代码：255表示SSH连接错误，包括密码和密钥。该恶意软件使用sshpass实用程序来使用非交互式SSH密码身份验证。
在SSH内联密码的情况下，恶意软件会设置sshpass参数"passwordauthentication=yes" 。它将勒索软件脚本存储在"/usr/share/man/man8/"目录中并执行。为了在SSH会话终止的情况下保持进程运行，恶意软件使用screensession和nohup命令。

文章图片
蠕虫侦察和传播功能恶意软件通过对其C&C服务器的API调用获取加密密码($crypt_pass) ，并将其传递给supermicro_cr.gz脚本。
【Bash 勒索软件 DarkRadiation 以基于 Red Hat 和 Debian 的 Linux 发行版为目标】请求加密密钥
该恶意软件具有install_tools函数，可以在未安装的情况下下载并安装必要的实用程序。基于此功能，研究人员可以看到该蠕虫只下载并安装基于CentOS或RHEL的Linux发行版的必备包，因为它仅使用YellowdogUpdater,Modified(YUM)包管理器。其他一些黑客工具以及DarkRadiation勒索软件变体仅使用YUM来下载和安装必备软件包。

文章图片
先决条件包安装最后，恶意软件通过Telegram的API向攻击者报告扫描/传播结果：