NginRAT

साइबर अपराधी ईकामर्स सर्वर के खिलाफ हमलों में NginRAT नामक एक नया रिमोट एक्सेस ट्रोजन (RAT) खतरा तैनात कर रहे हैं। धमकी भरे ऑपरेशन का लक्ष्य समझौता किए गए ऑनलाइन स्टोर से भुगतान कार्ड की जानकारी एकत्र करना है। अब तक, उत्तरी अमेरिका, जर्मनी और फ्रांस में NginRAT के पीड़ितों की पहचान की गई है।

NginRAT द्वारा नियोजित चोरी की तकनीक सुरक्षा समाधानों द्वारा पकड़ना बेहद कठिन बना देती है। यह खतरा Linux होस्ट सिस्टम की मुख्य कार्यक्षमता को संशोधित करके होस्ट के Nginx एप्लिकेशन को हाईजैक कर लेता है। अधिक विशेष रूप से, जब भी वैध Nginx वेब सर्वर एक कार्यक्षमता निष्पादित करता है, जैसे कि dlopen , NginRAT इसे इंटरसेप्ट करता है और खुद को इंजेक्ट करता है। नतीजतन, आरएटी एक वैध प्रक्रिया से अप्रभेद्य हो जाता है।

NginRAT खतरे का विश्लेषण करने वाली सुरक्षा कंपनी के अनुसार, समझौता प्रक्रियाओं को दिखाने का एक तरीका है। खतरा LD_L1BRARY_PATH (एक टाइपो के साथ) का उपयोग करता है, इसलिए शोधकर्ता निम्नलिखित कमांड चलाने की सलाह देते हैं:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | ग्रेप-वी स्वयं/

/proc/17199/वातावरण

/proc/25074/e nviron

उन्होंने यह भी पता लगाया कि NginRAT को CronRAT नामक एक अन्य RAT मैलवेयर द्वारा लक्षित सर्वरों तक पहुँचाया गया था। दो खतरे एक ही भूमिका निभाते हैं - संक्रमित मशीन तक पिछले दरवाजे तक पहुंच प्रदान करना, लेकिन वे विभिन्न तरीकों पर भरोसा करते हैं। उदाहरण के लिए, क्रोनराट अपने दूषित कोड को वैध अनुसूचित कार्यों में छुपाता है जिन्हें कभी भी निष्पादित नहीं किया जाएगा क्योंकि वे गैर-मौजूद तारीखों जैसे कि 31 फरवरी को चलने के लिए सेट हैं।

क्योंकि दोनों खतरों को एक ही समय में मौजूद होने के लिए देखा गया है, अगर सर्वर पर NginRAT पाया जाता है, तो व्यवस्थापकों को एक दूषित कोड के संकेतों के लिए क्रॉन कार्यों की भी जांच करनी चाहिए जो क्रोनराट द्वारा वहां छिपे हो सकते हैं।