Linux spilliforrit, CronRAT, er að fela sig í cron starfi með röngum dagsetningum

Helga Smithdesember 2, 2021Síðast uppfært: desember 18, 2021
1 mínútu lestur

Vísindamenn frá hollenska fyrirtækinu Sansec hafa uppgötvað nýtt spilliforrit fyrir Linux CronRAT. Það er tróverji með fjaraðgangi (ROTTA) sem sleppur við uppgötvun með því að fela sig í verkefnum sem áætlað er að keyra þann dag sem ekki er til 31. febrúar.

Spilliforritið er kallað CronRAT og ræðst aðallega á netverslanir, sem gerir netglæpamönnum kleift að stela bankakortagögnum og setja upp vefskímara á Linux netþjóna (það er, að framkvæma svokallaða MageCart árásir). Því miður, margar öryggislausnir gera það einfaldlega ekki “sjáðu” CronRAT vegna ýmissa sérkenna í rekstri þess.

CronRAT misnotar verkefnaáætlunarkerfi Linux, cron, sem gerir kleift að skipuleggja verkefni til að keyra á almanaksdögum sem ekki eru til eins og 31. febrúar. Í þessu tilfelli, cron kerfið tekur við slíkum dagsetningum ef þær eru með gilt snið (jafnvel þótt dagurinn sé ekki til í dagatalinu), en slíku áætluðu verkefni verður einfaldlega ekki lokið.

Með því að nýta þennan eiginleika, CronRAT er nánast ósýnilegt. Í skýrslu þeirra, Sansec sérfræðingar segja að spilliforritið feli a “flókið bash forrit” í nafni slíkra áætlunarverkefna.

CronRAT bætir fjölda verkefna við crontab með áhugaverðri dagsetningarforskrift: 52 23 31 2 3. Þessar línur eru setningafræðilega réttar en munu mynda keyrslutímavillu þegar þær eru keyrðar. Hins vegar, þetta mun aldrei gerast, þar sem almennt er ráðgert að hefja slík verkefni 31. febrúar.

Raunverulegt farmálag er skyggt með mörgum þjöppunarstigum og Base64. Rannsakendur segja að kóða inniheldur skipanir fyrir sjálfseyðingu, tímamótun, og sérsniðin samskiptareglur sem gerir honum kleift að eiga samskipti við ytri netþjón.

CronRAT kóða

CronRAT afkóðari

Vitað er að spilliforritið hefur samskipti við C&C miðlara (47.115.46.167) nota “framandi Linux kjarnaaðgerð sem veitir TCP samskipti í gegnum skrá.” Auk þess, tengingin er gerð yfir TCP yfir port 443 með því að nota falsa borða fyrir Dropbear SSH þjónustuna, sem einnig hjálpar Tróverji að fara óséður.

Eins og getið er hér að ofan, CronRAT fannst í mörgum netverslunum um allan heim, þar sem það var notað til að innleiða sérstök skimmer script sem stela greiðslukortagögnum. Sansec lýsir spilliforritinu sem “alvarleg ógn við Linux-undirstaða eCommerce netþjóna.”

Vandamálið eykst af því að CronRAT er næstum ósýnilegt öryggislausnum. Samkvæmt VirusTotal, 12 vírusvarnarlausnum tókst alls ekki að vinna úr skaðlegu skránni, og 58 fann enga ógn í því.

Ég minni á að við töluðum líka um annað Linux spilliforrit FontOnLake sem er notað í markvissum árásum.

Merki
Helga Smithdesember 2, 2021Síðast uppfært: desember 18, 2021
1 mínútu lestur

Helga Smith

Ég hafði alltaf áhuga á tölvunarfræði, sérstaklega gagnaöryggi og þemað, sem heitir nú á dögum "gagnafræði", síðan á unglingsárum mínum. Áður en þú kemur inn í teymið til að fjarlægja veirur sem aðalritstjóri, Ég starfaði sem sérfræðingur í netöryggi í nokkrum fyrirtækjum, þar á meðal einn af verktökum Amazon. Önnur upplifun: Ég hef kennt í Arden og Reading háskólunum.

Skildu eftir skilaboð

Þessi síða notar Akismet til að draga úr ruslpósti. Lærðu hvernig ummælagögnin þín eru unnin.

Aftur efst á hnappinn