Linux malware, CronRAT, gemmer sig i et cron-job med forkerte datoer

Helga Smithdecember 2, 2021Sidst opdateret: december 18, 2021
166 1 minuts læsning

Forskere fra det hollandske firma Sansec har opdaget en ny malware til Linux CronRAT. Det er en Remote Access Trojan (ROTTE) der undslipper opdagelse ved at gemme sig i opgaver, der er planlagt til at køre den ikke-eksisterende dag 31. februar.

Malwaren kaldes CronRAT og angriber hovedsageligt netbutikker, tillader cyberkriminelle at stjæle bankkortdata og installere webskimmere på Linux-servere (det er, at udføre den såkaldte MageCart angreb). uheldigvis, mange sikkerhedsløsninger gør det simpelthen ikke “se” CronRAT på grund af en række ejendommeligheder i dens drift.

CronRAT misbruger Linuxs opgaveplanlægningssystem, cron, som gør det muligt at planlægge opgaver til at køre på ikke-eksisterende kalenderdage såsom 31. februar. I dette tilfælde, cron-systemet accepterer sådanne datoer, hvis de har et gyldigt format (også selvom dagen ikke findes i kalenderen), men sådan en planlagt opgave vil simpelthen ikke blive fuldført.

Ved at drage fordel af denne funktion, CronRAT forbliver praktisk talt usynlig. I deres rapport, Sansec eksperter siger, at malwaren skjuler en “komplekst bash-program” i navnene på sådanne planlagte opgaver.

CronRAT tilføjer en række opgaver til crontab med en interessant datospecifikation: 52 23 31 2 3. Disse linjer er syntaktisk korrekte, men vil generere en køretidsfejl, når de udføres. Imidlertid, dette vil aldrig ske, da lanceringen af ​​sådanne opgaver generelt er planlagt til den 31. februar.

Den faktiske nyttelast er sløret med flere kompressionsniveauer og Base64. Det siger forskerne kode inkluderer kommandoer til selvdestruktion, tidsmodulation, og en brugerdefineret protokol, der gør det muligt at kommunikere med en ekstern server.

CronRAT-kode

CronRAT dekoder

Malwaren er kendt for at kommunikere med C&C server (47.115.46.167) ved brug af “en eksotisk Linux-kernefunktion, der giver TCP-kommunikation via en fil.” Desuden, forbindelsen er lavet over TCP over port 443 ved at bruge et falsk banner til Dropbear SSH-tjenesten, hvilket også hjælper trojaneren til at gå ubemærket hen.

Som nævnt ovenfor, CronRAT blev fundet i mange online butikker rundt om i verden, hvor det blev brugt til at implementere specielle skimmer-scripts, der stjæler betalingskortdata. Sansec beskriver malwaren som “en alvorlig trussel mod Linux-baserede e-handelsservere.”

Problemet forværres af, at CronRAT næsten er usynlig for sikkerhedsløsninger. Ifølge VirusTotal, 12 antivirusløsninger kunne slet ikke behandle den ondsindede fil, og 58 fandt ingen trussel i det.

Lad mig minde dig om, at vi også talte om en anden Linux malware FontOnLake der bruges i målrettede angreb.

Mærker
Helga Smithdecember 2, 2021Sidst opdateret: december 18, 2021
166 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap