NginRAT
Cyberkriminelle implementerer en ny Remote Access Trojan (RAT) trussel ved navn NginRAT i angreb mod e-handelsservere. Målet med den truende operation er at indsamle betalingskortoplysninger fra kompromitterede netbutikker. Indtil videre er ofre for NginRAT blevet identificeret i Nordamerika, Tyskland og Frankrig.
Unddragelsesteknikkerne, der anvendes af NginRAT, gør det ekstremt svært at blive fanget af sikkerhedsløsninger. Truslen kaprer værtens Nginx-applikation ved at ændre kernefunktionaliteten i Linux-værtssystemet. Mere specifikt, når den legitime Nginx-webserver udfører en funktionalitet, såsom dlopen , opsnapper NginRAT den og injicerer sig selv. Som et resultat bliver RAT umulig at skelne fra en legitim proces.
Ifølge sikkerhedsfirmaet, der analyserede NginRAT-truslen, er der en måde at vise de kompromitterede processer. Truslen bruger LD_L1BRARY_PATH (med en tastefejl), så forskerne anbefaler at køre følgende kommando:
$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/
/proc/17199/environ
/proc/25074/e nviron
De opdagede også, at NginRAT blev leveret til de målrettede servere af en anden RAT-malware ved navn CronRAT. De to trusler udfylder samme rolle - giver bagdørsadgang til den inficerede maskine, men de er afhængige af forskellige metoder. For eksempel skjuler CronRAT sin korrupte kode i gyldige planlagte opgaver, der aldrig vil blive udført, fordi de er indstillet til at køre på ikke-eksisterende datoer, såsom 31. februar.
Fordi begge trusler er blevet observeret at være til stede på samme tid, hvis NginRAT findes på en server, bør administratorer også tjekke cron-opgaverne for tegn på en beskadiget kode, der kan være skjult der af CronRAT.