Κακόβουλο λογισμικό Linux, CronRAT, κρύβεται σε μια cron job με λανθασμένες ημερομηνίες

Helga SmithΔεκέμβριος 2, 2021Τελευταία ενημέρωση: Δεκέμβριος 18, 2021
166 1 λεπτό διάβασμα

Ερευνητές από την ολλανδική εταιρεία Sansec έχουν ανακαλύψει ένα νέο κακόβουλο λογισμικό για το Linux CronRAT. Είναι ένας Trojan απομακρυσμένης πρόσβασης (ΑΡΟΥΡΑΙΟΣ) που διαφεύγει τον εντοπισμό κρύβεται σε εργασίες που έχουν προγραμματιστεί να εκτελεστούν την ανύπαρκτη ημέρα της 31ης Φεβρουαρίου.

Το κακόβουλο λογισμικό ονομάζεται CronRAT και επιτίθεται κυρίως σε ηλεκτρονικά καταστήματα, επιτρέποντας στους εγκληματίες του κυβερνοχώρου να κλέβουν δεδομένα τραπεζικών καρτών και να αναπτύσσουν web skimmers σε διακομιστές Linux (αυτό είναι, να πραγματοποιήσει το λεγόμενο MageCart επιθέσεις). Δυστυχώς, Πολλές λύσεις ασφαλείας απλώς δεν το κάνουν “βλέπω” CronRAT λόγω μιας σειράς ιδιαιτεροτήτων στη λειτουργία του.

Το CronRAT καταχράται το σύστημα προγραμματισμού εργασιών του Linux, cron, που επιτρέπει τον προγραμματισμό εργασιών για εκτέλεση σε ανύπαρκτες ημερολογιακές ημέρες όπως η 31η Φεβρουαρίου. Σε αυτήν την περίπτωση, το σύστημα cron δέχεται τέτοιες ημερομηνίες εάν έχουν έγκυρη μορφή (ακόμα κι αν η μέρα δεν υπάρχει στο ημερολόγιο), αλλά μια τέτοια προγραμματισμένη εργασία απλά δεν θα ολοκληρωθεί.

Εκμεταλλευόμενοι αυτό το χαρακτηριστικό, Το CronRAT παραμένει ουσιαστικά αόρατο. Στην έκθεσή τους, Sansec οι ειδικοί λένε ότι το κακόβουλο λογισμικό κρύβει α “σύνθετο πρόγραμμα bash” στο όνομα τέτοιων προγραμματισμένων εργασιών.

Το CronRAT προσθέτει έναν αριθμό εργασιών στο crontab με μια ενδιαφέρουσα προδιαγραφή ημερομηνίας: 52 23 31 2 3. Αυτές οι γραμμές είναι συντακτικά σωστές αλλά θα δημιουργήσουν ένα σφάλμα χρόνου εκτέλεσης όταν εκτελεστούν. Ωστόσο, αυτό δεν θα συμβεί ποτέ, δεδομένου ότι η έναρξη τέτοιων εργασιών είναι γενικά προγραμματισμένη για τις 31 Φεβρουαρίου.

Το πραγματικό ωφέλιμο φορτίο είναι ασαφές με πολλαπλά επίπεδα συμπίεσης και Base64. Οι ερευνητές λένε ότι κώδικας περιλαμβάνει εντολές για αυτοκαταστροφή, διαμόρφωση χρόνου, και ένα προσαρμοσμένο πρωτόκολλο που του επιτρέπει να επικοινωνεί με έναν απομακρυσμένο διακομιστή.

Κωδικός CronRAT

Αποκωδικοποιητής CronRAT

Το κακόβουλο λογισμικό είναι γνωστό ότι επικοινωνεί με το C&Διακομιστής C (47.115.46.167) χρησιμοποιώντας “μια εξωτική λειτουργία πυρήνα Linux που παρέχει επικοινωνία TCP μέσω ενός αρχείου.” Επιπλέον, η σύνδεση γίνεται μέσω TCP μέσω θύρας 443 χρησιμοποιώντας ένα ψεύτικο banner για την υπηρεσία Dropbear SSH, που βοηθά επίσης τον Τρωικό να περάσει απαρατήρητος.

Οπως αναφέρθηκε προηγουμένως, Το CronRAT βρέθηκε σε πολλά ηλεκτρονικά καταστήματα σε όλο τον κόσμο, όπου χρησιμοποιήθηκε για την εφαρμογή ειδικών σεναρίων skimmer που κλέβουν δεδομένα κάρτας πληρωμής. Η Sansec περιγράφει το κακόβουλο λογισμικό ως “μια σοβαρή απειλή για διακομιστές ηλεκτρονικού εμπορίου που βασίζονται σε Linux.”

Το πρόβλημα επιδεινώνεται από το γεγονός ότι το CronRAT είναι σχεδόν αόρατο στις λύσεις ασφαλείας. Σύμφωνα με VirusTotal, 12 Οι λύσεις προστασίας από ιούς απέτυχαν καθόλου να επεξεργαστούν το κακόβουλο αρχείο, και 58 δεν βρήκε απειλή σε αυτό.

Να θυμίσω ότι μιλήσαμε και για άλλο Κακόβουλο λογισμικό Linux FontOnLake που χρησιμοποιείται σε στοχευμένες επιθέσεις.

Ετικέτες
Helga SmithΔεκέμβριος 2, 2021Τελευταία ενημέρωση: Δεκέμβριος 18, 2021
166 1 λεπτό διάβασμα

Helga Smith

Ενδιαφέρομαι πάντα για τις επιστήμες των υπολογιστών, ειδικά την ασφάλεια δεδομένων και το θέμα, που ονομάζεται σήμερα "επιστημονικά δεδομένα", από τα πρώτα μου χρόνια. Πριν μπείτε στην ομάδα κατάργησης ιών ως αρχισυντάκτης, Εργάστηκα ως ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο σε πολλές εταιρείες, συμπεριλαμβανομένου ενός από τους εργολάβους της Amazon. Μια άλλη εμπειρία: Έχω διδάξει σε πανεπιστήμια Arden και Reading.

Αφήστε μια απάντηση

Αυτό το site χρησιμοποιεί Akismet να μειώσει το spam. Μάθετε πώς γίνεται επεξεργασία των δεδομένων σας σχόλιο.

Κουμπί Επιστροφή στην κορυφή