CronRAT

Изследователите от холандска компания за киберсигурност откриха сложна заплаха от злонамерен софтуер, която използва иновативни техники за маскиране на своите злобни действия. Наречена CronRAT, заплахата е класифицирана като RAT - троянски кон за отдалечен достъп. Той е насочен към уеб магазини и предоставя на нападателите средства за инжектиране на скимери за онлайн плащания в компрометираните Linux сървъри. В крайна сметка целта на хакерите е да получат данни от кредитни карти, които по-късно могат да бъдат експлоатирани. Многобройните техники за избягване, използвани от заплахата, я правят почти неоткриваема.

Технически подробности

Отличителната характеристика на CronRAT е начинът, по който злоупотребява със системата за планиране на задачи на Linux (cron), за да скрие сложна Bash програма. Зловредният софтуер инжектира няколко задачи към crontab, които имат валиден формат, така че системата да ги приема. Тези задачи ще доведат до грешка по време на изпълнение, когато бъдат изпълнени, но това няма да се случи, тъй като е планирано да се изпълняват на несъществуващи дати, като 31 февруари. Повреденият код на заплахата е скрит в имената на тези планирани задачи.

След премахване на няколко нива на обфускация, изследователите на infosec успяха да разкрият команди за самоунищожение, модификации на времето и персонализиран протокол за комуникация със сървъра за командване и управление на нападателите (C2, C&C). Контактът с отдалечения сървър се постига чрез неясна функция на ядрото на Linux, която позволява TCP комуникации чрез файл. В допълнение, връзката се пренася през TCP през порт 443, преструвайки се на Dropbear SSH услуга. В крайна сметка нападателите ще могат да изпълняват произволни команди върху взломените системи.

Заключение

CronRAT се счита за сериозна заплаха за сървърите за електронна търговия на Linux поради своите заплашителни възможности. Заплахата има техники за избягване на откриване, като изпълнение без файлове, модулация на времето, използване на двоичен, обфуциран протокол, използване на легитимни имена на планирани задачи на CRON за скриване на полезни товари и други. На практика той е практически неоткриваем и може да се наложи да бъдат приложени специални мерки за защита на техните целеви сървъри на Linux.

Тенденция

Най-гледан

Зареждане...