CronRAT

En sofistikeret malwaretrussel, der anvender innovative teknikker til at maskere sine uhyggelige handlinger, er blevet identificeret af forskerne hos en hollandsk cybersikkerhedsvirksomhed. Ved navn CronRAT er truslen klassificeret som en RAT - Remote Access Trojan. Det er rettet mod webbutikker og giver angriberne midlerne til at injicere online betalingsskimmere på de kompromitterede Linux-servere. I sidste ende er målet for hackerne at skaffe kreditkortdata, som senere kan udnyttes. De talrige unddragelsesteknikker, der anvendes af truslen, gør den næsten uopdagelig.

Tekniske detaljer

Det iøjnefaldende kendetegn ved CronRAT er den måde, det misbruger Linux-opgaveplanlægningssystemet (cron) til at skjule et sofistikeret Bash-program. Malwaren injicerer flere opgaver til crontab, der har et gyldigt format, så systemet accepterer dem. Disse opgaver vil resultere i en køretidsfejl, når de udføres, men det vil ikke ske, fordi de er planlagt til at køre på ikke-eksisterende datoer, såsom 31. februar. Den korrupte kode for truslen er skjult i navnene på disse planlagte opgaver.

Efter at have skrællet flere niveauer af sløring, var infosec-forskere i stand til at afsløre kommandoer til selvdestruktion, timing-modifikationer og en specialbygget protokol til kommunikation med angribernes Command-and-Control-server (C2, C&C). Kontakten med fjernserveren opnås via en obskur funktion i Linux-kernen, der tillader TCP-kommunikation gennem en fil. Derudover føres forbindelsen over TCP via port 443, der foregiver at være en Dropbear SSH-tjeneste. I sidste ende vil angriberne være i stand til at udføre vilkårlige kommandoer på de brudte systemer.

Konklusion

CronRAT betragtes som en alvorlig trussel mod Linux eCommerce-servere på grund af dets truende egenskaber. Truslen har detektions-unddragelsesteknikker, såsom filløs eksekvering, timing-modulation, brugen af en binær, sløret protokol, brugen af legitime CRON-planlagte opgavenavne til at skjule nyttelast og mere. I praksis er det praktisk talt uopdagligt, og det kan være nødvendigt at implementere særlige foranstaltninger for at beskytte deres målrettede Linux-servere.