Linux 恶意软件, CronRAT, 隐藏在日期不正确的 cron 作业中

来自荷兰 Sansec 公司的研究人员 发现了 适用于 Linux CronRAT 的新恶意软件. 这是一个远程访问木马 (鼠) 通过隐藏在计划在不存在的 2 月 31 日运行的任务中逃避检测.

该恶意软件被称为 CronRAT 并且主要攻击网店, 允许网络犯罪分子窃取银行卡数据并在 Linux 服务器上部署网络浏览器 (那是, 进行所谓的 魔法车 攻击). 不幸, 许多安全解决方案根本没有 “看” CronRAT 由于其操作中的许多特殊性.

CronRAT 滥用 Linux 的任务调度系统, 定时任务, 这允许将任务安排在不存在的日历日(例如 2 月 31 日)运行. 在这种情况下, 如果日期格式有效,cron 系统会接受这些日期 (即使日历中不存在这一天), 但是这样的预定任务根本就不会完成.

通过利用此功能, CronRAT 几乎不可见. 在他们的报告中, 圣赛克 专家表示,该恶意软件隐藏了一个 “复杂的 bash 程序” 以此类计划任务的名义.

CronRAT 通过有趣的日期规范向 crontab 添加了许多任务: 52 23 31 2 3. 这些行在语法上是正确的,但在执行时会产生运行时错误. 然而, 这永远不会发生, 由于此类任务的启动时间一般安排在2月31日.

实际有效载荷被多个压缩级别和 Base64 混淆. 研究人员说 代码 包括自毁命令, 时间调制, 以及允许它与远程服务器通信的自定义协议.

CronRAT 代码

CronRAT 解码器

已知恶意软件会与 C 通信&C服务器 (47.115.46.167) 使用 “一个奇异的 Linux 内核函数,它通过文件提供 TCP 通信。” 此外, 连接是通过端口上的 TCP 建立的 443 为 Dropbear SSH 服务使用虚假横幅, 这也有助于木马不被注意.

正如刚才提到的, CronRAT 已在世界各地的许多在线商店中找到, 它被用来实现窃取支付卡数据的特殊撇渣器脚本. Sansec 将恶意软件描述为 “对基于 Linux 的电子商务服务器构成严重威胁。”

由于 CronRAT 对安全解决方案几乎不可见,这个问题变得更加严重. 根据 病毒总数, 12 防病毒解决方案根本无法处理恶意文件, 和 58 没有发现其中的威胁.

让我提醒你,我们还谈到了另一个 Linux 恶意软件 FontOnLake 用于有针对性的攻击.

赫尔加·史密斯

我一直对计算机科学感兴趣, 特别是数据安全和主题, 现在被称为 "数据科学", 从我十几岁起. 在加入病毒清除团队担任主编之前, 我曾在多家公司担任网络安全专家, 包括亚马逊的一名承包商. 另一种体验: 我在雅顿大学和雷丁大学任教.

发表评论

本网站使用的Akismet,以减少垃圾邮件. 了解您的意见如何处理数据.

返回顶部按钮