Linux 惡意軟件, CronRAT, 隱藏在日期不正確的 cron 作業中

來自荷蘭 Sansec 公司的研究人員 發現了 適用於 Linux CronRAT 的新惡意軟件. 這是一個遠程訪問木馬 (鼠) 通過隱藏在計劃在不存在的 2 月 31 日運行的任務中逃避檢測.

該惡意軟件被稱為 CronRAT 並且主要攻擊網店, 允許網絡犯罪分子竊取銀行卡數據並在 Linux 服務器上部署網絡瀏覽器 (那是, 進行所謂的 魔法車 攻擊). 不幸, 許多安全解決方案根本沒有 “看” CronRAT 由於其操作中的許多特殊性.

CronRAT 濫用 Linux 的任務調度系統, 定時任務, 這允許將任務安排在不存在的日曆日(例如 2 月 31 日)運行. 在這種情況下, 如果日期格式有效,cron 系統會接受這些日期 (即使日曆中不存在這一天), 但是這樣的預定任務根本就不會完成.

通過利用此功能, CronRAT 幾乎不可見. 在他們的報告中, 聖賽克 專家表示,該惡意軟件隱藏了一個 “複雜的 bash 程序” 以此類計劃任務的名義.

CronRAT 通過有趣的日期規範向 crontab 添加了許多任務: 52 23 31 2 3. 這些行在語法上是正確的,但在執行時會產生運行時錯誤. 然而, 這永遠不會發生, 由於此類任務的啟動時間一般安排在2月31日.

實際有效載荷被多個壓縮級別和 Base64 混淆. 研究人員說 代碼 包括自毀命令, 時間調製, 以及允許它與遠程服務器通信的自定義協議.

CronRAT 代碼

CronRAT 解碼器

已知惡意軟件會與 C 通信&C服務器 (47.115.46.167) 使用 “一個奇異的 Linux 內核函數,它通過文件提供 TCP 通信。” 此外, 連接是通過端口上的 TCP 建立的 443 為 Dropbear SSH 服務使用虛假橫幅, 這也有助於木馬不被注意.

正如剛才提到的, CronRAT 已在世界各地的許多在線商店中找到, 它被用來實現竊取支付卡數據的特殊撇渣器腳本. Sansec 將惡意軟件描述為 “對基於 Linux 的電子商務服務器構成嚴重威脅。”

由於 CronRAT 對安全解決方案幾乎不可見,這個問題變得更加嚴重. 根據 病毒總數, 12 防病毒解決方案根本無法處理惡意文件, 和 58 沒有發現其中的威脅.

讓我提醒你,我們還談到了另一個 Linux 惡意軟件 FontOnLake 用於有針對性的攻擊.

赫爾加·史密斯

我一直對計算機科學感興趣, 特別是數據安全和主題, 現在被稱為 "數據科學", 從我十幾歲起. 在加入病毒清除團隊擔任主編之前, 我曾在多家公司擔任網絡安全專家, 包括亞馬遜的一名承包商. 另一種體驗: 我在雅頓大學和雷丁大學任教.

發表評論

本網站使用的Akismet,以減少垃圾郵件. 了解您的意見如何處理數據.

返回頂部按鈕