리눅스 악성코드, 크론랫, 날짜가 잘못된 cron 작업에 숨어 있습니다.
네덜란드 회사 Sansec의 연구원 발견했다 Linux CronRAT용 새로운 악성코드. 원격 액세스 트로이 목마입니다. (쥐) 존재하지 않는 2월 31일에 실행되도록 예약된 작업에 숨어 탐지를 피하는.
악성코드라고 합니다 크론랫 주로 온라인 상점을 공격합니다., 사이버 범죄자가 은행 카드 데이터를 훔치고 Linux 서버에 웹 스키머를 배포하도록 허용 (그건, 이른바 마법사 카트 공격). 운수 나쁘게, 많은 보안 솔루션은 단순히 “보다” CronRAT의 작동상의 여러 특성으로 인한.
CronRAT, Linux의 작업 스케줄링 시스템 남용, 크론, 2월 31일과 같이 존재하지 않는 날짜에 작업을 실행하도록 예약할 수 있습니다.. 이 경우, cron 시스템은 유효한 형식인 경우 이러한 날짜를 허용합니다. (달력에 날짜가 없더라도), 그러나 그러한 예약된 작업은 단순히 완료되지 않을 것입니다.
이 기능을 이용하여, CronRAT은 거의 보이지 않습니다.. 그들의 보고서에서, 산섹 전문가들은 악성코드가 “복잡한 배쉬 프로그램” 그러한 예약된 작업의 이름으로.
실제 페이로드는 여러 압축 수준과 Base64로 난독화됩니다.. 연구자들은 말한다. 암호 자폭 명령 포함, 시간 변조, 원격 서버와 통신할 수 있는 사용자 지정 프로토콜.
악성코드는 C와 통신하는 것으로 알려져 있습니다.&C 서버 (47.115.46.167) 사용 “파일을 통해 TCP 통신을 제공하는 이국적인 Linux 커널 기능.” 게다가, 연결은 포트를 통해 TCP를 통해 이루어집니다. 443 Dropbear SSH 서비스에 가짜 배너 사용, 이것은 또한 트로이 목마가 눈에 띄지 않게 하는 데 도움이 됩니다..
상술 한 바와 같이, CronRAT은 전 세계의 많은 온라인 상점에서 발견되었습니다., 결제 카드 데이터를 훔치는 특수 스키머 스크립트를 구현하는 데 사용되었습니다.. Sansec은 맬웨어를 다음과 같이 설명합니다. “Linux 기반 전자 상거래 서버에 대한 심각한 위협.”
우리가 다른 것에 대해서도 이야기했음을 상기시켜 드리겠습니다. 리눅스 악성코드 폰트온레이크 표적 공격에 사용되는.
