Linuxマルウェア, CronRAT, 日付が正しくないcronジョブに隠れています

オランダの会社Sansecの研究者 発見した LinuxCronRAT用の新しいマルウェア. これはリモートアクセス型トロイの木馬です (ねずみ) 2月31日の存在しない日に実行するようにスケジュールされたタスクに隠れることで検出を回避します.

マルウェアはと呼ばれます CronRAT 主にオンラインストアを攻撃します, サイバー犯罪者が銀行カードデータを盗み、LinuxサーバーにWebスキマーを配備できるようにする (あれは, いわゆる実行する MageCart 攻撃). 不運にも, 多くのセキュリティソリューションは単にそうではありません “見る” CronRATは、その操作にいくつかの特殊性があるためです.

CronRATはLinuxのタスクスケジューリングシステムを悪用します, cron, これにより、2月31日などの存在しない暦日にタスクを実行するようにスケジュールできます。. この場合, cronシステムは、有効な形式の日付を受け入れます (カレンダーにその日が存在しない場合でも), しかし、そのようなスケジュールされたタスクは単に完了しません.

この機能を利用することにより, CronRATは事実上見えないままです. 彼らの報告では, Sansec 専門家によると、マルウェアは “複雑なbashプログラム” そのようなスケジュールされたタスクの名前で.

CronRATは、興味深い日付指定を使用してcrontabにいくつかのタスクを追加します: 52 23 31 2 3. これらの行は構文的には正しいですが、実行すると実行時エラーが発生します. しかしながら, これは決して起こりません, このようなタスクの開始は通常2月31日に予定されているため.

実際のペイロードは、複数の圧縮レベルとBase64で難読化されています. 研究者は言う コード 自己破壊するためのコマンドが含まれています, 時間変調, リモートサーバーとの通信を可能にするカスタムプロトコル.

CronRATコード

CronRATデコーダー

マルウェアはCと通信することが知られています&Cサーバー (47.115.46.167) を使用して “ファイルを介してTCP通信を提供するエキゾチックなLinuxカーネル関数。” 加えて, 接続はTCPoverportを介して行われます 443 DropbearSSHサービスに偽のバナーを使用する, これは、トロイの木馬が見過ごされるのにも役立ちます.

上記のように, CronRATは、世界中の多くのオンラインストアで見つかりました, ペイメントカードデータを盗む特別なスキマースクリプトを実装するために使用された場所. Sansecはマルウェアを次のように説明しています “Linuxベースのeコマースサーバーに対する深刻な脅威。”

この問題は、CronRATがセキュリティソリューションからほとんど見えないという事実によって悪化します. によると VirusTotal, 12 ウイルス対策ソリューションは、悪意のあるファイルをまったく処理できませんでした, そして 58 脅威は見つかりませんでした.

別の話もしたことを思い出させてください Linuxマルウェア FontOnLake 標的型攻撃で使用されます.

ヘルガ・スミス

ずっとコンピューターサイエンスに興味がありました, 特にデータセキュリティとテーマ, 現在と呼ばれている "データサイエンス", 10代前半から. 編集長としてウイルス駆除チームに参加する前に, 私はいくつかの企業でサイバーセキュリティの専門家として働いていました, Amazonの請負業者の1つを含む. 別の経験: 私はアーデン大学とレディング大学で教えています.

返信を残します

このサイトは、スパムを減らすためにアキスメットを使用しています. あなたのコメントデータが処理される方法を学びます.

トップに戻るボタン