Złośliwe oprogramowanie dla Linuksa, CronRAT, ukrywa się w cronie z niepoprawnymi datami

Naukowcy z holenderskiej firmy Sansec odkrył nowe złośliwe oprogramowanie dla Linux CronRAT. Jest to trojan zdalnego dostępu (SZCZUR) który wymyka się wykryciu, ukrywając się w zadaniach, których uruchomienie zaplanowano na nieistniejący dzień 31 lutego.

Złośliwe oprogramowanie nazywa się CronRAT i głównie atakuje sklepy internetowe, umożliwienie cyberprzestępcom kradzieży danych z kart bankowych i wdrażanie skimmerów internetowych na serwerach z systemem Linux (to jest, przeprowadzić tzw MageCart ataki). Niestety, wiele rozwiązań bezpieczeństwa po prostu nie “zobaczyć” CronRAT ze względu na szereg osobliwości w jego działaniu.

CronRAT nadużywa systemu planowania zadań Linuksa, cron, co pozwala zaplanować uruchamianie zadań w nieistniejące dni kalendarzowe, takie jak 31 lutego. W tym przypadku, system cron akceptuje takie daty, jeśli mają poprawny format (nawet jeśli dzień nie istnieje w kalendarzu), ale tak zaplanowane zadanie po prostu nie zostanie ukończone.

Korzystając z tej funkcji, CronRAT pozostaje praktycznie niewidoczny. W swoim raporcie, Sansec eksperci twierdzą, że złośliwe oprogramowanie ukrywa “złożony program bash” w nazwach takich zaplanowanych zadań.

CronRAT dodaje szereg zadań do crontab z ciekawą specyfikacją dat: 52 23 31 2 3. Te wiersze są poprawne składniowo, ale po wykonaniu wygenerują błąd w czasie wykonywania. jednak, to się nigdy nie zdarzy, ponieważ uruchomienie takich zadań generalnie planowane jest na 31 lutego.

Rzeczywisty ładunek jest zaciemniony za pomocą wielu poziomów kompresji i Base64. Naukowcy twierdzą, że kod zawiera polecenia do samozniszczenia, modulacja czasu, i niestandardowy protokół, który pozwala mu komunikować się ze zdalnym serwerem.

Kod CronRAT

Dekoder CronRAT

Wiadomo, że złośliwe oprogramowanie komunikuje się z C&serwer C (47.115.46.167) za pomocą “egzotyczna funkcja jądra Linuksa, która zapewnia komunikację TCP za pośrednictwem pliku.” Dodatkowo, połączenie jest nawiązywane przez TCP przez port 443 używanie fałszywego banera dla usługi Dropbear SSH, co również pomaga trojanowi pozostać niezauważonym.

Jak wspomniano powyżej, CronRAT został znaleziony w wielu sklepach internetowych na całym świecie, gdzie zaimplementowano specjalne skrypty skimmerowe, które wykradają dane kart płatniczych. Sansec opisuje złośliwe oprogramowanie jako “poważne zagrożenie dla serwerów eCommerce opartych na systemie Linux.”

Problem pogłębia fakt, że CronRAT jest prawie niewidoczny dla rozwiązań bezpieczeństwa. Według Wirus Suma, 12 rozwiązania antywirusowe w ogóle nie przetworzyły złośliwego pliku, i 58 nie znalazłem w tym zagrożenia.

Przypomnę, że rozmawialiśmy też o innym Złośliwe oprogramowanie dla Linuksa CzcionkaNaJeziorze który jest używany w atakach ukierunkowanych.

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry