CronRAT

Hollandalı bir siber güvenlik şirketindeki araştırmacılar, hain eylemlerini maskelemek için yenilikçi teknikler kullanan sofistike bir kötü amaçlı yazılım tehdidi tespit etti. CronRAT adlı tehdit, RAT - Uzaktan Erişim Truva Atı olarak sınıflandırılır. Web mağazalarını hedefler ve saldırganlara, güvenliği ihlal edilmiş Linux sunucularına çevrimiçi ödeme sıyırıcılar enjekte etme araçları sağlar. Sonuçta, bilgisayar korsanlarının amacı, daha sonra istismar edilebilecek kredi kartı verilerini elde etmektir. Tehdit tarafından kullanılan sayısız kaçma tekniği onu neredeyse tespit edilemez kılıyor.

Teknik detaylar

CronRAT'ın göze çarpan özelliği, karmaşık bir Bash programını gizlemek için Linux görev zamanlama sistemini (cron) kötüye kullanmasıdır. Kötü amaçlı yazılım, sistemin bunları kabul etmesi için geçerli bir biçime sahip olan birkaç görevi crontab'a enjekte eder. Bu görevler yürütüldüğünde bir çalışma zamanı hatasıyla sonuçlanacaktır, ancak bu, 31 Şubat gibi var olmayan tarihlerde çalışacak şekilde programlandıkları için gerçekleşmeyecektir. Tehdidin bozuk kodu, bu zamanlanmış görevlerin adlarında gizlidir.

Bilgi güvenliği araştırmacıları, çeşitli gizlilik seviyelerini soyduktan sonra, kendi kendini yok etme, zamanlama değişiklikleri ve saldırganların Komuta ve Kontrol sunucusu (C2, C&C) ile iletişim için özel olarak oluşturulmuş bir protokol için komutları ortaya çıkardılar. Uzak sunucuyla bağlantı, bir dosya aracılığıyla TCP iletişimine izin veren Linux çekirdeğinin belirsiz bir özelliği aracılığıyla sağlanır. Ek olarak, bağlantı bir Dropbear SSH hizmeti gibi davranarak 443 numaralı bağlantı noktası üzerinden TCP üzerinden taşınır. Sonuç olarak, saldırganlar, ihlal edilen sistemlerde keyfi komutlar yürütebilecekler.

Çözüm

CronRAT, tehdit edici yetenekleri nedeniyle Linux e-Ticaret sunucuları için ciddi bir tehdit olarak kabul edilir. Tehdit, dosyasız yürütme, zamanlama modülasyonu, ikili, gizlenmiş bir protokol kullanımı, yükleri gizlemek için meşru CRON zamanlanmış görev adlarının kullanımı ve daha fazlası gibi algılama-kaçınma tekniklerine sahiptir. Pratikte, neredeyse tespit edilemez ve hedeflenen Linux sunucularını korumak için özel önlemlerin uygulanması gerekebilir.