Linux wanware, CronRAT, skuil in 'n cron job met verkeerde datums

Helga SmithDesember 2, 2021Laas opgedateer: Desember 18, 2021
166 1 minuut gelees

Navorsers van die Nederlandse maatskappy Sansec ontdek het 'n nuwe wanware vir Linux CronRAT. Dit is 'n Remote Access Trojaans (RAT) wat opsporing ontsnap deur weg te kruip in take wat geskeduleer is om op die nie-bestaande dag van 31 Februarie uit te voer.

Die malware word genoem CronRAT en val hoofsaaklik aanlynwinkels aan, wat kubermisdadigers toelaat om bankkaartdata te steel en webskimmers op Linux-bedieners te ontplooi (dit wil sê, om die sg MageCart aanvalle). Ongelukkig, baie sekuriteitsoplossings eenvoudig nie “sien” CronRAT as gevolg van 'n aantal eienaardighede in die werking daarvan.

CronRAT misbruik Linux se taakskeduleringstelsel, cron, wat toelaat dat take geskeduleer word om te loop op nie-bestaande kalenderdae soos 31 Februarie. In hierdie geval, die cron-stelsel aanvaar sulke datums as hulle 'n geldige formaat het (al bestaan ​​die dag nie in die kalender nie), maar so 'n geskeduleerde taak sal eenvoudig nie voltooi word nie.

Deur voordeel te trek uit hierdie kenmerk, CronRAT bly feitlik onsigbaar. In hul verslag, Sansec kenners sê dat die malware verberg a “komplekse bash-program” in die name van sulke geskeduleerde take.

CronRAT voeg 'n aantal take by die crontab met 'n interessante datumspesifikasie: 52 23 31 2 3. Hierdie reëls is sintakties korrek, maar sal 'n looptydfout genereer wanneer dit uitgevoer word. Egter, dit sal nooit gebeur nie, aangesien die bekendstelling van sulke take oor die algemeen vir 31 Februarie geskeduleer is.

Die werklike loonvrag word verduister met veelvuldige kompressievlakke en Base64. Die navorsers sê die kode sluit opdragte vir selfvernietiging in, tyd modulasie, en 'n pasgemaakte protokol wat dit toelaat om met 'n afgeleë bediener te kommunikeer.

CronRAT-kode

CronRAT-dekodeerder

Dit is bekend dat die malware met die C&C bediener (47.115.46.167) gebruik “'n eksotiese Linux-kernfunksie wat TCP-kommunikasie via 'n lêer verskaf.” Daarby, die verbinding word gemaak oor TCP oor poort 443 die gebruik van 'n vals banier vir die Dropbear SSH-diens, wat ook help om die Trojaan ongemerk te bly.

Soos bogenoem, CronRAT is in baie aanlynwinkels regoor die wêreld gevind, waar dit gebruik is om spesiale skimmer-skrifte te implementeer wat betaalkaartdata steel. Sansec beskryf die wanware as “'n ernstige bedreiging vir Linux-gebaseerde eCommerce-bedieners.”

Die probleem word vererger deur die feit dat CronRAT amper onsigbaar is vir sekuriteitsoplossings. Volgens VirusTotaal, 12 antivirusoplossings kon glad nie die kwaadwillige lêer verwerk nie, en 58 geen bedreiging daarin gevind nie.

Laat ek jou herinner dat ons ook oor 'n ander gepraat het Linux wanware FontOnLake wat in geteikende aanvalle gebruik word.

Merkers
Helga SmithDesember 2, 2021Laas opgedateer: Desember 18, 2021
166 1 minuut gelees

Helga Smith

Ek het altyd in rekenaarwetenskap belanggestel, veral datasekuriteit en die tema, wat deesdae genoem word "data wetenskap", sedert my vroeë tienerjare. Voordat u as hoofredakteur in die virusverwyderingspan kom, Ek het as 'n kuberveiligheidskenner in verskeie maatskappye gewerk, insluitend een van Amazon se kontrakteurs. Nog 'n ervaring: Ek het onderrig in Arden en Reading universiteite.

Los 'n antwoord

Hierdie webwerf gebruik Akismet om strooipos te verminder. Leer hoe jou opmerkingdata verwerk word.

Terug na bo-knoppie