NginRAT

Kyberrikolliset ottavat käyttöön uuden etäkäytön troijalaisen (RAT) uhan nimeltä NginRAT hyökkäyksissä verkkokauppapalvelimia vastaan. Uhkailuoperaation tavoitteena on kerätä maksukorttitietoja vaarantuneista verkkokaupoista. Toistaiseksi NginRAT:n uhreja on tunnistettu Pohjois-Amerikassa, Saksassa ja Ranskassa.

NginRAT:n käyttämät evaasiotekniikat tekevät turvaratkaisuista erittäin vaikeaksi jäädä kiinni. Uhka kaappaa isännän Nginx-sovelluksen muokkaamalla Linux-isäntäjärjestelmän ydintoimintoja. Tarkemmin sanottuna aina kun laillinen Nginx-verkkopalvelin suorittaa toiminnon, kuten dlopenin , NginRAT sieppaa sen ja lisää itsensä. Tämän seurauksena RAT:ta ei voi erottaa laillisesta prosessista.

NginRAT-uhan analysoineen turvayrityksen mukaan on olemassa tapa näyttää vaarantuneet prosessit. Uhka käyttää LD_L1BRARY_PATH-polkua (jossa on kirjoitusvirhe), joten tutkijat suosittelevat seuraavan komennon suorittamista:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v itse/

/proc/17199/environ

/proc/25074/e nviron

He havaitsivat myös, että toinen RAT-haittaohjelma nimeltä CronRAT toimitti NginRAT:n kohteena oleville palvelimille. Näillä kahdella uhalla on sama rooli – ne tarjoavat takaoven pääsyn tartunnan saaneelle koneelle, mutta ne perustuvat eri menetelmiin. Esimerkiksi CronRAT piilottaa vioittuneen koodinsa kelvollisiin ajoitettuihin tehtäviin, joita ei koskaan suoriteta, koska ne on asetettu suoritettavaksi olemattomina päivinä, kuten 31. helmikuuta.

Koska molempien uhkien on havaittu esiintyvän samanaikaisesti, jos NginRAT löytyy palvelimelta, järjestelmänvalvojien tulee myös tarkistaa cron-tehtävistä merkkejä vioittuneesta koodista, jonka CronRAT saattaa piilottaa sinne.