Linux malware, CronRAT, gjemmer seg i en cron-jobb med feil datoer

Forskere fra det nederlandske selskapet Sansec har oppdaget en ny skadelig programvare for Linux CronRAT. Det er en fjerntilgangstrojaner (ROTTE) som unnslipper gjenkjenning ved å gjemme seg i oppgaver som er planlagt å kjøre på den ikke-eksisterende dagen 31. februar.

Skadevaren kalles CronRAT og angriper hovedsakelig nettbutikker, som lar nettkriminelle stjele bankkortdata og distribuere nettskimmere på Linux-servere (det er, å gjennomføre den såkalte MageCart angrep). dessverre, mange sikkerhetsløsninger gjør det rett og slett ikke “se” CronRAT på grunn av en rekke særegenheter i driften.

CronRAT misbruker Linuxs oppgaveplanleggingssystem, cron, som gjør at oppgaver kan planlegges til å kjøre på ikke-eksisterende kalenderdager som 31. februar. I dette tilfellet, cron-systemet godtar slike datoer hvis de har et gyldig format (selv om dagen ikke finnes i kalenderen), men en slik planlagt oppgave vil ganske enkelt ikke bli fullført.

Ved å dra nytte av denne funksjonen, CronRAT forblir praktisk talt usynlig. I rapporten deres, Sansec eksperter sier at skadelig programvare skjuler en “komplekst bash-program” i navnene på slike planlagte oppgaver.

CronRAT legger til en rekke oppgaver til crontab med en interessant datospesifikasjon: 52 23 31 2 3. Disse linjene er syntaktisk korrekte, men vil generere en kjøretidsfeil når de utføres. derimot, dette vil aldri skje, siden lanseringen av slike oppgaver vanligvis er planlagt til 31. februar.

Den faktiske nyttelasten er skjult med flere komprimeringsnivåer og Base64. Forskerne sier at kode inkluderer kommandoer for selvdestruksjon, tidsmodulasjon, og en tilpasset protokoll som lar den kommunisere med en ekstern server.

CronRAT-kode

CronRAT-dekoder

Skadevaren er kjent for å kommunisere med C&C -server (47.115.46.167) ved hjelp av “en eksotisk Linux-kjernefunksjon som gir TCP-kommunikasjon via en fil.” I tillegg, tilkoblingen gjøres over TCP over port 443 bruke et falskt banner for Dropbear SSH-tjenesten, som også hjelper trojaneren å gå ubemerket hen.

Som nevnt ovenfor, CronRAT ble funnet i mange nettbutikker rundt om i verden, hvor det ble brukt til å implementere spesielle skimmer-skript som stjeler betalingskortdata. Sansec beskriver skadelig programvare som “en alvorlig trussel mot Linux-baserte e-handelsservere.”

Problemet forverres av det faktum at CronRAT er nesten usynlig for sikkerhetsløsninger. I følge VirusTotal, 12 antivirusløsninger klarte ikke å behandle den skadelige filen i det hele tatt, og 58 fant ingen trussel i det.

La meg minne deg på at vi også snakket om en annen Linux malware FontOnLake som brukes i målrettede angrep.

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen