كرونرات

تم تحديد تهديد البرامج الضارة المعقدة الذي يستخدم تقنيات مبتكرة لإخفاء أفعاله الشائنة من قبل الباحثين في شركة الأمن السيبراني الهولندية. يسمى التهديد CronRAT ، ويصنف على أنه RAT - الوصول عن بعد حصان طروادة. إنه يستهدف متاجر الويب ويزود المهاجمين بالوسائل لحقن كاشطات الدفع عبر الإنترنت على خوادم Linux المخترقة. في النهاية ، هدف المتسللين هو الحصول على بيانات بطاقة الائتمان التي يمكن استغلالها لاحقًا. تقنيات التهرب العديدة التي يستخدمها التهديد تجعله غير قابل للكشف تقريبًا.

تفاصيل تقنية

السمة المميزة لـ CronRAT هي الطريقة التي يسيء بها استخدام نظام جدولة مهام Linux (cron) لإخفاء برنامج Bash معقد. تقوم البرامج الضارة بحقن العديد من المهام في crontab بتنسيق صالح حتى يقبلها النظام. ستؤدي هذه المهام إلى حدوث خطأ في وقت التشغيل عند تنفيذها ولكن هذا لن يحدث لأنه تمت جدولتها للتشغيل في تواريخ غير موجودة ، مثل 31 فبراير. الكود التالف للتهديد مخفي في أسماء هذه المهام المجدولة.

بعد تقشير عدة مستويات من التشويش ، تمكن باحثو إنفوسك من الكشف عن أوامر التدمير الذاتي ، وتعديلات التوقيت ، وبروتوكول مصمم خصيصًا للتواصل مع خادم الأوامر والتحكم للمهاجمين (C2 ، C&C). يتم تحقيق الاتصال بالخادم البعيد عبر ميزة غامضة في Linux kernel تسمح باتصالات TCP من خلال ملف. بالإضافة إلى ذلك ، يتم نقل الاتصال عبر TCP عبر المنفذ 443 متظاهرًا بأنه خدمة Dropbear SSH. في النهاية ، سيتمكن المهاجمون من تنفيذ أوامر عشوائية على الأنظمة المخترقة.

استنتاج

يعتبر CronRAT تهديدًا خطيرًا لخوادم التجارة الإلكترونية في Linux نظرًا لقدراته الخطيرة. يحتوي التهديد على تقنيات تهرب من الاكتشاف ، مثل التنفيذ بدون ملفات ، وتعديل التوقيت ، واستخدام بروتوكول ثنائي مشوش ، واستخدام أسماء المهام المجدولة CRON المشروعة لإخفاء الحمولات وأكثر من ذلك. من الناحية العملية ، لا يمكن اكتشافه فعليًا وقد يلزم تنفيذ تدابير خاصة لحماية خوادم Linux المستهدفة الخاصة بهم.

الشائع

الأكثر مشاهدة

جار التحميل...