文章图片
恶意软件将执行状态发送到攻击者的Telegram通道 。DarkRadiation勒索软件
在上一节中 ， 研究人员讨论了SSH蠕虫脚本 ， 它接收凭据配置作为base64参数 ， 并将其用于目标系统以下载和执行勒索软件 。
在本节中查看勒索软件的各种迭代 ， 研究人员调查了名为"supermicro_cr_third"的脚本 ， 它似乎是最新版本 。 勒索软件是用bash脚本编写的 ， 目标是RedHat/CentOS和DebianLinux发行版 。 该恶意软件使用OpenSSL的AES算法和CBC模式来加密各种目录中的文件 。 它还使用Telegram的API向攻击者发送感染状态 。
研究人员观察到这个脚本正在大量开发中 ， 这个勒索软件的各个版本都相似 ， 只有很小的变化 。 一些函数被恶意软件开发者注释 ， 而一些函数在某些情况下没有使用(死代码) 。 在本节中 ， 研究人员将详细讨论该勒索软件的工作原理 。
该脚本使用一个名为"node-bash-obfuscate"的开源工具进行了混淆 ， 该工具是一种用于混淆bash脚本的Node.jsCLI工具和库 。 该工具将bash脚本分成块 ， 然后为每个块分配变量名 ， 并用变量引用替换原始脚本 ， 实际上打乱了原始脚本 。
以下代码片段演示了如何使用此脚本来混淆bash脚本：

文章图片
node-bash-obfuscate选项

文章图片
node-bash-obfuscate示例输出supermicro_cr_third分析：

文章图片
supermicro_cr_third混淆脚本执行时 ， 恶意软件会检查它是否以root身份执行；如果没有 ， 它会显示"请以root身份运行"消息 ， 自行删除并退出 。

文章图片

文章图片
检查脚本是否以root身份运行然后检查是否安装了curl和OpenSSL；如果不是 ， 恶意软件就会下载并安装它们 。

文章图片
supermicro_cr_third中的必备软件包安装

文章图片
supermicro_cr_third中的必备包安装bot_who函数是一个bash脚本 ， 它使用"who"命令获取当前登录到Unix计算机系统的用户的快照 ， 它将结果存在一个名为"/tmp/.ccw"的隐藏文件中 。 之后 ， 它每五秒再次执行"who"命令并检查输出的".ccw"文件 。 如果它们不相等（新用户登录） ， 恶意软件会通过Telegram的API向攻击者发送一条消息：

文章图片

• 中国经济网北京11月24日讯 润和软件（300339.|润和软件实控人周红卫质押425万股 累计质押2600万股
• 新点软件上市首日跌4.5%IPO募40亿国泰君安赚1.45亿
• 前三季度我国软件业务收入增长超两成
• Uber创始人创办的报销软件Expensify上市：市值33亿美元
• 巨一科技、强瑞技术、隆华新材今日分别在科创板、创业板、创业板上市。|11月10日新股提示：巨一科技等上市 安旭生物等中签号出炉 鸥玛软件公布中签率
• 无人直播带货|【无人直播带货软件】24小时无人直播带货是怎么做的
• 涨停全景复盘简图数据来源：钱龙战略家软件市场情绪高度不含ST和上市新股|【钱龙日榜】2021.11.3涨停全景复盘
• 知名炒股软件|同花顺“崩”上热搜第一！网友炸锅：能索赔吗？
• 以跌停价成交？使用第三方交易软件投资当心“翻车”！|保护中小投资者⑥
• 百亿上市公司华宇软件董事长被刑拘 5万股民懵了