תוכנות זדוניות של לינוקס, CronRAT, מסתתר בעבודת קרון עם תאריכים שגויים
חוקרים מחברת Sansec ההולנדית גילה תוכנה זדונית חדשה עבור Linux CronRAT. זה טרויאני גישה מרחוק (עכברוש) שבורח מזיהוי על ידי הסתרה במשימות המתוכננות לפעול ביום הלא קיים של 31 בפברואר.
התוכנה הזדונית נקראת CronRAT ובעיקר תוקף חנויות מקוונות, המאפשר לפושעי סייבר לגנוב נתוני כרטיסי בנק ולפרוס רחפני אינטרנט בשרתי לינוקס (זה, לבצע את מה שנקרא MageCart התקפות). לצערי, פתרונות אבטחה רבים פשוט לא “לִרְאוֹת” CronRAT בשל מספר מוזרויות בהפעלתו.
CronRAT עושה שימוש לרעה במערכת תזמון המשימות של לינוקס, cron, מה שמאפשר לתזמן משימות לרוץ בימים קלנדריים שאינם קיימים כמו 31 בפברואר. במקרה הזה, מערכת cron מקבלת תאריכים כאלה אם יש להם פורמט חוקי (גם אם היום לא קיים בלוח השנה), אבל משימה מתוכננת כזו פשוט לא תושלם.
על ידי ניצול התכונה הזו, CronRAT נשאר כמעט בלתי נראה. בדו"ח שלהם, Sansec מומחים אומרים שהתוכנה הזדונית מסתירה א “תוכנית bash מורכבת” בשמות של משימות מתוזמנות כאלה.
המטען בפועל מעורפל עם רמות דחיסה מרובות ו-Base64. החוקרים אומרים ש קוד כולל פקודות להרס עצמי, אפנון זמן, ופרוטוקול מותאם אישית המאפשר לו לתקשר עם שרת מרוחק.
ידוע כי התוכנה הזדונית מתקשרת עם ה-C&שרת C (47.115.46.167) באמצעות “פונקציית ליבת לינוקס אקזוטית המספקת תקשורת TCP באמצעות קובץ.” בנוסף, החיבור נעשה דרך TCP דרך יציאה 443 שימוש באנר מזויף עבור שירות Dropbear SSH, מה שגם עוזר לסוס הטרויאני לא לשים לב אליו.
כמוזכר לעיל, CronRAT נמצא בחנויות מקוונות רבות ברחבי העולם, שבו הוא שימש ליישום סקריפטים מיוחדים של רחפנים שגונבים נתוני כרטיסי תשלום. Sansec מתאר את התוכנה הזדונית בתור “איום רציני על שרתי מסחר אלקטרוני מבוססי לינוקס.”
תן לי להזכיר לך שדיברנו גם על אחר תוכנות זדוניות של לינוקס FontOnLake שמשמש בהתקפות ממוקדות.
