Linux-malware, CronRAT, verstopt zich in een cronjob met onjuiste datums

Onderzoekers van het Nederlandse bedrijf Sansec hebben ontdekt een nieuwe malware voor Linux CronRAT. Het is een Trojaans paard voor toegang op afstand (RAT) die aan detectie ontsnapt door zich te verstoppen in taken die gepland zijn om te worden uitgevoerd op de niet-bestaande dag van 31 februari.

De malware heet CronRAT en vallen voornamelijk online winkels aan, waardoor cybercriminelen bankkaartgegevens kunnen stelen en webskimmers kunnen inzetten op Linux-servers (dat is, uitvoeren van de zogenaamde MageCart aanvallen). helaas, veel beveiligingsoplossingen doen dat gewoon niet “zien” CronRAT vanwege een aantal eigenaardigheden in zijn werking.

CronRAT maakt misbruik van het taakplanningssysteem van Linux, cron, waarmee taken kunnen worden gepland om te worden uitgevoerd op niet-bestaande kalenderdagen zoals 31 februari. In dit geval, het cron-systeem accepteert dergelijke datums als ze een geldig formaat hebben (zelfs als de dag niet bestaat in de kalender), maar zo'n geplande taak zal gewoon niet worden voltooid.

Door gebruik te maken van deze functie, CronRAT blijft vrijwel onzichtbaar. In hun rapport, Sansec experts zeggen dat de malware zich verbergt “complex bash-programma” in de namen van dergelijke geplande taken.

CronRAT voegt een aantal taken toe aan de crontab met een interessante datumspecificatie: 52 23 31 2 3. Deze regels zijn syntactisch correct, maar genereren een runtime-fout wanneer ze worden uitgevoerd. Echter, dit zal nooit gebeuren, aangezien de lancering van dergelijke taken over het algemeen gepland is voor 31 februari.

De daadwerkelijke lading wordt versluierd met meerdere compressieniveaus en Base64. De onderzoekers zeggen dat de code bevat opdrachten voor zelfvernietiging, tijd modulatie, en een aangepast protocol waarmee het kan communiceren met een externe server.

CronRAT-code

CronRAT decoder

Het is bekend dat de malware communiceert met de C&C-server (47.115.46.167) gebruik makend van “een exotische Linux-kernelfunctie die TCP-communicatie via een bestand biedt.” In aanvulling op, de verbinding wordt gemaakt via TCP via poort 443 een valse banner gebruiken voor de Dropbear SSH-service, wat er ook voor zorgt dat de Trojan onopgemerkt blijft.

Zoals hierboven vermeld, CronRAT werd in veel online winkels over de hele wereld gevonden, waar het werd gebruikt om speciale skimmer-scripts te implementeren die betaalkaartgegevens stelen. Sansec beschrijft de malware als: “een serieuze bedreiging voor op Linux gebaseerde eCommerce-servers.”

Het probleem wordt verergerd door het feit dat CronRAT bijna onzichtbaar is voor beveiligingsoplossingen. Volgens VirusTotaal, 12 antivirusoplossingen konden het schadelijke bestand helemaal niet verwerken, en 58 vond er geen bedreiging in.

Laat me je eraan herinneren dat we het ook over een ander hebben gehad Linux-malware LettertypeOnLake die wordt gebruikt bij gerichte aanvallen.

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop