Linux惡意軟件, CronRAT嘅, 屈喺日期唔正確嘅cron作業中
荷蘭Sansec公司的研究人員 發現 適用於Linux CronRAT嘅新惡意軟件. 佢係一種遠程訪問木馬 (鼠) 透過屈喺計劃喺唔存在嘅2月31日運行嘅任務中嚟逃避檢測.
該惡意軟件被稱為 CronRAT嘅 並且主要攻擊在線商店, 允許網絡犯罪分子竊取銀行卡數據並喺Linux服務器上部署網絡撇油器 (噉係, 執行所謂嘅 MageCart (美人推車) 攻擊). 不幸, 好多安全解決方案根本無法實現 “看” CronRAT由於其操作中嘅好多特殊性.
CronRAT濫用Linux嘅任務調度系統, 克朗, 它允許把任務安排喺唔存在嘅日曆日(如2月31日)運行. 喺呢種情況下, 如果此類日期具有有效的格式,則cron系統接受呢啲日期 (即使日曆中唔存在該日期), 但係噉嘅計劃任務根本無法完成.
透過利用此功能, CronRAT幾乎唔可見. 喺佢哋嘅報告中, 桑塞克 專家說,該惡意軟件隱藏了 “複雜嘅bash程序” 以此類計劃任務嘅名義.
CronRAT向crontab添加咗好多任務,並指定咗一個有趣嘅日期: 52 23 31 2 3. 呢啲行喺語法上係正確嘅,但在執行時會生成運行時錯誤. 然而, 永遠唔會發生, 由於此類任務嘅啟動通常定於2月31日.
實際有效負載使用多個壓縮級別同Base64進行模糊處理. 研究人員說, 法典 包括用于自毀嘅命令, 時間調製, 以及允許它與遠程服務器通信嘅自定義協議.
已知該惡意軟件會與C通信&C服務器 (47.115.46.167) 用 “一個奇特嘅Linux內核函數,透過文件提供TCP通信。” 另外, 連接係透過TCP over port建立嘅 443 對Dropbear SSH服務使用虛假橫幅, 都有助於特洛伊木马唔畀注意.
如上所述, CronRAT喺全球好多在線商店中都可以搵到, 它被用嚟實現竊取支付卡數據嘅特殊撇油器腳本. Sansec將惡意軟件描述為 “對基於Linux嘅電子商務服務器構成嚴重威脅。”
由於CronRAT對安全解決方案幾乎唔可見,因此問題更加嚴重. 根據 病毒總數, 12 防病毒解決方案根本無法處理惡意文件, 和 58 未發現任何威脅.
讓我提醒你,我哋仲談到埋另一個 Linux惡意軟件 字體OnLake 用于有針對性嘅攻擊.
