NginRAT

Cyberkriminelle implementerer en ny Remote Access Trojan (RAT) trussel ved navn NginRAT i angreb mod e-handelsservere. Målet med den truende operation er at indsamle betalingskortoplysninger fra kompromitterede netbutikker. Indtil videre er ofre for NginRAT blevet identificeret i Nordamerika, Tyskland og Frankrig.

Unddragelsesteknikkerne, der anvendes af NginRAT, gør det ekstremt svært at blive fanget af sikkerhedsløsninger. Truslen kaprer værtens Nginx-applikation ved at ændre kernefunktionaliteten i Linux-værtssystemet. Mere specifikt, når den legitime Nginx-webserver udfører en funktionalitet, såsom dlopen , opsnapper NginRAT den og injicerer sig selv. Som et resultat bliver RAT umulig at skelne fra en legitim proces.

Ifølge sikkerhedsfirmaet, der analyserede NginRAT-truslen, er der en måde at vise de kompromitterede processer. Truslen bruger LD_L1BRARY_PATH (med en tastefejl), så forskerne anbefaler at køre følgende kommando:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/

/proc/17199/environ

/proc/25074/e nviron

De opdagede også, at NginRAT blev leveret til de målrettede servere af en anden RAT-malware ved navn CronRAT. De to trusler udfylder samme rolle - giver bagdørsadgang til den inficerede maskine, men de er afhængige af forskellige metoder. For eksempel skjuler CronRAT sin korrupte kode i gyldige planlagte opgaver, der aldrig vil blive udført, fordi de er indstillet til at køre på ikke-eksisterende datoer, såsom 31. februar.

Fordi begge trusler er blevet observeret at være til stede på samme tid, hvis NginRAT findes på en server, bør administratorer også tjekke cron-opgaverne for tegn på en beskadiget kode, der kan være skjult der af CronRAT.