NginRAT

Kyberzločinci nasazují při útocích proti serverům elektronického obchodu novou hrozbu Trojan pro vzdálený přístup (RAT) s názvem NginRAT. Cílem hrozivé operace je shromáždit informace o platebních kartách z napadených internetových obchodů. Dosud byly oběti NginRAT identifikovány v Severní Americe, Německu a Francii.

Únikové techniky používané NginRAT velmi ztěžují být zachyceny bezpečnostními řešeními. Hrozba unese hostitelovu aplikaci Nginx úpravou základní funkce hostitelského systému Linux. Přesněji řečeno, kdykoli legitimní webový server Nginx spustí funkci, jako je dlopen , NginRAT ji zachytí a vloží se. V důsledku toho se RAT stává k nerozeznání od legitimního procesu.

Podle bezpečnostní společnosti, která analyzovala hrozbu NginRAT, existuje způsob, jak ukázat ohrožené procesy. Hrozba používá LD_L1BRARY_PATH (s překlepem), takže výzkumníci doporučují spustit následující příkaz:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/

/proc/17199/environ

/proc/25074/e nviron

Zjistili také, že NginRAT byl doručen na cílové servery jiným malwarem RAT s názvem CronRAT . Tyto dvě hrozby plní stejnou roli – poskytují zadní vrátka přístupu k infikovanému počítači, ale spoléhají na různé metody. CronRAT například skryje svůj poškozený kód v platných naplánovaných úlohách, které nebudou nikdy provedeny, protože jsou nastaveny tak, aby se spouštěly v neexistující data, jako je 31. února.

Vzhledem k tomu, že byly pozorovány obě hrozby současně, pokud je na serveru nalezen NginRAT, měli by správci také zkontrolovat úlohy cron, zda nevykazují známky poškozeného kódu, který by tam mohl CronRAT skrývat.