Linux skadlig kod, CronRAT, gömmer sig i ett cron-jobb med felaktiga datum

Helga Smithdecember 2, 2021Senast uppdaterad: december 18, 2021
166 1 läst minut

Forskare från det holländska företaget Sansec har upptäckt en ny skadlig programvara för Linux CronRAT. Det är en trojan för fjärråtkomst (RÅTTA) som undkommer upptäckt genom att gömma sig i uppgifter som är planerade att köras den obefintliga dagen den 31 februari.

Skadlig programvara kallas CronRAT och attackerar främst nätbutiker, tillåter cyberbrottslingar att stjäla bankkortsdata och distribuera webbskimmers på Linux-servrar (det är, att genomföra den s.k MageCart attacker). Tyvärr, många säkerhetslösningar gör det helt enkelt inte “ser” CronRAT på grund av ett antal egenheter i dess drift.

CronRAT missbrukar Linuxs schemaläggningssystem, cron, vilket gör att uppgifter kan schemaläggas för att köras på icke-existerande kalenderdagar som 31 februari. I detta fall, cron-systemet accepterar sådana datum om de har ett giltigt format (även om dagen inte finns i kalendern), men en sådan schemalagd uppgift kommer helt enkelt inte att slutföras.

Genom att dra nytta av denna funktion, CronRAT förblir praktiskt taget osynlig. I deras rapport, Sansec experter säger att skadlig programvara döljer en “komplext bash-program” i namnen på sådana schemalagda uppgifter.

CronRAT lägger till ett antal uppgifter till crontab med en intressant datumspecifikation: 52 23 31 2 3. Dessa rader är syntaktiskt korrekta men kommer att generera ett körtidsfel när de körs. dock, detta kommer aldrig att hända, eftersom lanseringen av sådana uppgifter i allmänhet är planerad till den 31 februari.

Den faktiska nyttolasten är förvirrad med flera komprimeringsnivåer och Base64. Forskarna säger att koda innehåller kommandon för självförstörelse, tidsmodulering, och ett anpassat protokoll som gör att den kan kommunicera med en fjärrserver.

CronRAT-kod

CronRAT-avkodare

Skadlig programvara är känd för att kommunicera med C&C-server (47.115.46.167) använder sig av “en exotisk Linux-kärnfunktion som tillhandahåller TCP-kommunikation via en fil.” För övrigt, anslutningen görs över TCP över port 443 använder en falsk banner för Dropbear SSH-tjänsten, vilket också hjälper trojanen att gå obemärkt förbi.

Som nämnts ovan, CronRAT fanns i många onlinebutiker runt om i världen, där det användes för att implementera speciella skimmer-skript som stjäl betalkortsdata. Sansec beskriver skadlig programvara som “ett allvarligt hot mot Linux-baserade e-handelsservrar.”

Problemet förvärras av att CronRAT nästan är osynligt för säkerhetslösningar. Enligt VirusTotal, 12 antiviruslösningar misslyckades med att bearbeta den skadliga filen alls, och 58 hittade inget hot i den.

Låt mig påminna dig om att vi också pratade om en annan Linux skadlig kod FontOnLake som används i riktade attacker.

Taggar
Helga Smithdecember 2, 2021Senast uppdaterad: december 18, 2021
166 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen