Linux-Malware, CronRAT, versteckt sich in einem Cronjob mit falschen Daten

Helga SmithDezember 2, 2021Letztes Update Dezember 18, 2021
166 1 Minute Lesezeit

Forscher des niederländischen Unternehmens Sansec entdeckt haben eine neue Malware für Linux CronRAT. Es ist ein Remote-Access-Trojaner (RATTE) die der Entdeckung entgeht, indem sie sich in Aufgaben versteckt, die am nicht existierenden Tag des 31. Februar ausgeführt werden sollen.

Die Malware heißt CronRAT und greift hauptsächlich Online-Shops an, ermöglicht es Cyberkriminellen, Bankkartendaten zu stehlen und Web-Skimmer auf Linux-Servern bereitzustellen (das ist, um die sogenannte MageCart Anschläge). Unglücklicherweise, viele Sicherheitslösungen einfach nicht “sehen” CronRAT aufgrund einer Reihe von Besonderheiten in seiner Funktionsweise.

CronRAT missbraucht das Task-Scheduling-System von Linux, cron, wodurch die Ausführung von Aufgaben an nicht vorhandenen Kalendertagen wie dem 31. Februar geplant werden kann. In diesem Fall, Das Cron-System akzeptiert solche Daten, wenn sie ein gültiges Format haben (auch wenn der Tag nicht im Kalender existiert), aber eine solche geplante Aufgabe wird einfach nicht abgeschlossen.

Indem Sie diese Funktion nutzen, CronRAT bleibt praktisch unsichtbar. In ihrem Bericht, Sansec Experten sagen, dass sich die Malware versteckt “komplexes Bash-Programm” im Namen solcher geplanten Aufgaben.

CronRAT fügt der Crontab eine Reihe von Aufgaben mit einer interessanten Datumsangabe hinzu: 52 23 31 2 3. Diese Zeilen sind syntaktisch korrekt, erzeugen aber bei der Ausführung einen Laufzeitfehler. jedoch, das wird nie passieren, da der Start solcher Aufgaben in der Regel für den 31. Februar geplant ist.

Die eigentliche Nutzlast wird mit mehreren Komprimierungsstufen und Base64 verschleiert. Die Forscher sagen das Code enthält Befehle zur Selbstzerstörung, Zeitmodulation, und ein benutzerdefiniertes Protokoll, das die Kommunikation mit einem Remote-Server ermöglicht.

CronRAT-Code

CronRAT-Decoder

Die Malware kommuniziert bekanntermaßen mit dem C&C-Server (47.115.46.167) mit “eine exotische Linux-Kernelfunktion, die TCP-Kommunikation über eine Datei bereitstellt.” In Ergänzung, die Verbindung erfolgt über TCP über Port 443 Verwendung eines gefälschten Banners für den Dropbear SSH-Dienst, was auch dazu beiträgt, dass der Trojaner unbemerkt bleibt.

Wie oben erwähnt, CronRAT wurde in vielen Online-Shops auf der ganzen Welt gefunden, wo es verwendet wurde, um spezielle Skimmer-Skripte zu implementieren, die Zahlungskartendaten stehlen. Sansec beschreibt die Malware als “eine ernsthafte Bedrohung für Linux-basierte E-Commerce-Server.”

Das Problem wird dadurch verschärft, dass CronRAT für Sicherheitslösungen fast unsichtbar ist. Entsprechend VirusTotal, 12 Antivirenlösungen konnten die bösartige Datei überhaupt nicht verarbeiten, und 58 fand keine Bedrohung darin.

Lassen Sie mich daran erinnern, dass wir auch über einen anderen gesprochen haben Linux-Malware FontOnLake die bei gezielten Angriffen verwendet wird.

Schlagwörter
Helga SmithDezember 2, 2021Letztes Update Dezember 18, 2021
166 1 Minute Lesezeit

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"