Linuxový malware, CronRAT, se skrývá v úloze cron s nesprávnými daty

Výzkumníci z nizozemské společnosti Sansec objevili nový malware pro Linux CronRAT. Je to Trojan pro vzdálený přístup (KRYSA) který unikne detekci tím, že se skryje v úlohách naplánovaných na neexistující den 31. února.

Malware se nazývá CronRAT a útočí hlavně na internetové obchody, umožňuje kyberzločincům krást data bankovních karet a nasazovat webové skimmery na servery Linux (to je, k provedení tzv MageCart útoky). bohužel, mnoho bezpečnostních řešení prostě ne “vidět” CronRAT kvůli řadě zvláštností v jeho fungování.

CronRAT zneužívá linuxový systém plánování úloh, cron, což umožňuje naplánovat spouštění úloh na neexistující kalendářní dny, jako je 31. února. V tomto případě, cron systém přijímá taková data, pokud mají platný formát (i když den v kalendáři neexistuje), ale takový naplánovaný úkol prostě nebude dokončen.

Využitím této funkce, CronRAT zůstává prakticky neviditelný. V jejich zprávě, Sansec odborníci tvrdí, že malware skrývá a “komplexní bash program” v názvech takových naplánovaných úloh.

CronRAT přidává do crontab řadu úkolů se zajímavou specifikací data: 52 23 31 2 3. Tyto řádky jsou syntakticky správné, ale při spuštění vygenerují chybu běhu. nicméně, to se nikdy nestane, protože spuštění takových úkolů je obecně naplánováno na 31. února.

Skutečné užitečné zatížení je zatemněno několika úrovněmi komprese a Base64. Výzkumníci říkají kód obsahuje příkazy pro sebedestrukci, časová modulace, a vlastní protokol, který mu umožňuje komunikovat se vzdáleným serverem.

CronRAT kód

dekodér CronRAT

Je známo, že malware komunikuje s C&C server (47.115.46.167) použitím “exotická funkce linuxového jádra, která poskytuje TCP komunikaci prostřednictvím souboru.” Dále, připojení je vytvořeno přes TCP přes port 443 pomocí falešného banneru pro službu Dropbear SSH, což také pomáhá Trojanovi zůstat bez povšimnutí.

Jak je zmíněno výše, CronRAT byl nalezen v mnoha internetových obchodech po celém světě, kde byl použit k implementaci speciálních skimmerových skriptů, které kradou data platebních karet. Sansec popisuje malware jako “vážnou hrozbou pro servery elektronického obchodu založené na Linuxu.”

Problém zhoršuje skutečnost, že CronRAT je pro bezpečnostní řešení téměř neviditelný. Podle Virus Celkem, 12 antivirová řešení vůbec nedokázala zpracovat škodlivý soubor, a 58 nenašel v něm žádnou hrozbu.

Připomínám, že jsme hovořili i o jiném Linuxový malware FontOnLake který se používá při cílených útocích.

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru