Usean laitteen lisenssit (määräalennukset)
Threat Database Remote Administration Tools CronRAT

CronRAT

Vuonna Mezo vuonna Remote Administration Tools
Käännä:
Suomi

Hollantilaisen kyberturvallisuusyrityksen tutkijat ovat tunnistaneet kehittyneen haittaohjelmauhan, joka käyttää innovatiivisia tekniikoita ilkeiden toimiensa peittämiseen. CronRAT-niminen uhka on luokiteltu RAT-etäkäyttötroijalaiseksi. Se kohdistuu verkkokauppoihin ja tarjoaa hyökkääjille keinot pistää online-maksunkerääjät vaarantuneille Linux-palvelimille. Viime kädessä hakkereiden tavoitteena on saada luottokorttitietoja, joita voidaan myöhemmin hyödyntää. Uhan käyttämät lukuisat väistötekniikat tekevät siitä lähes havaitsemattoman.

Tekniset yksityiskohdat

CronRATin erottuva ominaisuus on tapa, jolla se käyttää väärin Linuxin tehtäväaikataulutusjärjestelmää (cron) piilottaakseen kehittyneen Bash-ohjelman. Haittaohjelma lisää crontabille useita tehtäviä, joiden muoto on kelvollinen, jotta järjestelmä hyväksyy ne. Nämä tehtävät johtavat suoritusaikavirheeseen suoritettaessa, mutta sitä ei tapahdu, koska ne on ajoitettu suoritettavaksi olemattomina päivinä, kuten helmikuun 31. päivänä. Uhan vioittunut koodi on piilotettu näiden ajoitettujen tehtävien nimiin.

Selvitettyään useita hämärätasoja, infosec-tutkijat pystyivät paljastamaan itsetuhokomennot, ajoituksen muutokset ja räätälöidyn protokollan kommunikointiin hyökkääjien komento- ja ohjauspalvelimen (C2, C&C) kanssa. Yhteys etäpalvelimeen saadaan aikaan Linux-ytimen epäselvän ominaisuuden kautta, joka mahdollistaa TCP-viestinnän tiedoston kautta. Lisäksi yhteys kuljetetaan TCP:n yli portin 443 kautta Dropbear SSH -palveluna. Lopulta hyökkääjät voivat suorittaa mielivaltaisia komentoja rikotuissa järjestelmissä.

Johtopäätös

CronRATia pidetään vakavana uhkana Linuxin verkkokauppapalvelimille sen uhkaavien ominaisuuksien vuoksi. Uhalla on havaitsemis-kiertotekniikoita, kuten tiedostoton suoritus, ajoitusmodulaatio, binaarisen, hämärän protokollan käyttö, laillisten CRON-aikataulujen tehtävien nimien käyttö hyötykuormien piilottamiseen ja paljon muuta. Käytännössä sitä ei käytännössä voida havaita, ja saattaa olla tarpeen toteuttaa erityistoimenpiteitä kohdennettujen Linux-palvelimien suojaamiseksi.

Trendaavat

Eniten katsottu

Ladataan...