Linux-haittaohjelma, CronRAT, piileskelee cron-työssä virheellisillä päivämäärillä

Helga Smithjoulukuu 2, 2021Viimeksi päivitetty: joulukuu 18, 2021
166 1 minuutti luettu

Hollantilaisen Sansec-yhtiön tutkijat ovat löytäneet uusi haittaohjelma Linux CronRATille. Se on etäkäyttötroijalainen (ROTTA) joka välttää havaitsemisen piiloutumalla tehtäviin, jotka on ajoitettu suoritettavaksi olemattomaksi päiväksi 31. helmikuuta.

Haittaohjelma on ns CronRAT ja hyökkää pääasiassa verkkokauppoihin, antaa verkkorikollisille mahdollisuuden varastaa pankkikorttitietoja ja ottaa käyttöön web-kerääjiä Linux-palvelimille (tuo on, toteuttamaan ns MageCart hyökkäyksiä). valitettavasti, monet tietoturvaratkaisut eivät yksinkertaisesti sitä tee “katso” CronRAT, koska sen toiminnassa on useita erityispiirteitä.

CronRAT käyttää väärin Linuxin tehtävien ajoitusjärjestelmää, cron, jonka avulla tehtävät voidaan ajoittaa suoritettavaksi olemattomina kalenteripäivinä, kuten helmikuun 31. päivänä. Tässä tapauksessa, cron-järjestelmä hyväksyy tällaiset päivämäärät, jos niillä on kelvollinen muoto (vaikka päivää ei olisi kalenterissa), mutta tällaista ajoitettua tehtävää ei yksinkertaisesti saada valmiiksi.

Hyödyntämällä tätä ominaisuutta, CronRAT on käytännössä näkymätön. Heidän raportissaan, Sansec Asiantuntijat sanovat, että haittaohjelma piilottaa a “monimutkainen bash-ohjelma” tällaisten ajoitettujen tehtävien nimissä.

CronRAT lisää useita tehtäviä crontabiin mielenkiintoisella päivämäärämäärityksellä: 52 23 31 2 3. Nämä rivit ovat syntaktisesti oikeita, mutta ne luovat ajonaikaisen virheen suoritettaessa. kuitenkin, tätä ei koskaan tapahdu, koska tällaisten tehtävien käynnistäminen on yleensä suunniteltu 31. helmikuuta.

Todellinen hyötykuorma on hämärtynyt useilla pakkaustasoilla ja Base64:llä. Tutkijat sanovat koodi sisältää itsetuhokomennot, aikamodulaatio, ja mukautettu protokolla, jonka avulla se voi kommunikoida etäpalvelimen kanssa.

CronRAT koodi

CronRAT-dekooderi

Haittaohjelman tiedetään kommunikoivan C:n kanssa&C-palvelin (47.115.46.167) käyttämällä “eksoottinen Linux-ytimen toiminto, joka tarjoaa TCP-viestinnän tiedoston kautta.” Lisäksi, yhteys muodostetaan TCP-portin kautta 443 käyttämällä väärennettyä banneria Dropbear SSH -palveluun, mikä myös auttaa troijalaista jäämään huomaamatta.

Kuten yllä mainittu, CronRAT löytyi monista verkkokaupoista ympäri maailmaa, jossa sitä käytettiin toteuttamaan erityisiä skimmer-skriptejä, jotka varastavat maksukorttitietoja. Sansec kuvailee haittaohjelmaa nimellä “vakava uhka Linux-pohjaisille verkkokauppapalvelimille.”

Ongelmaa pahentaa se, että CronRAT on lähes näkymätön tietoturvaratkaisuille. Mukaan VirusTotal, 12 virustorjuntaratkaisut eivät pystyneet käsittelemään haitallista tiedostoa ollenkaan, ja 58 ei löytänyt siitä mitään uhkaa.

Muistutan, että puhuimme myös toisesta Linux-haittaohjelma FontOnLake jota käytetään kohdistetuissa hyökkäyksissä.

Tunnisteet
Helga Smithjoulukuu 2, 2021Viimeksi päivitetty: joulukuu 18, 2021
166 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike