크론랫

네덜란드 사이버 보안 회사의 연구원들이 악의적인 행동을 은폐하기 위해 혁신적인 기술을 사용하는 정교한 맬웨어 위협을 식별했습니다. CronRAT라는 이름의 위협 요소는 RAT(원격 액세스 트로이 목마)로 분류됩니다. 웹 스토어를 목표로 하고 공격자에게 온라인 지불 스키머를 손상된 Linux 서버에 주입할 수 있는 수단을 제공합니다. 궁극적으로 해커의 목표는 나중에 악용될 수 있는 신용 카드 데이터를 얻는 것입니다. 위협이 사용하는 수많은 회피 기술로 인해 거의 탐지되지 않습니다.

기술적 세부 사항

CronRAT의 두드러진 특징은 Linux 작업 스케줄링 시스템(cron)을 악용하여 정교한 Bash 프로그램을 숨기는 방식입니다. 멀웨어는 시스템이 이를 수락할 수 있도록 유효한 형식의 crontab에 여러 작업을 주입합니다. 이러한 작업은 실행 시 런타임 오류가 발생하지만 2월 31일과 같이 존재하지 않는 날짜에 실행되도록 예약되어 있기 때문에 발생하지 않습니다. 위협의 손상된 코드는 이러한 예약된 작업의 이름에 숨겨져 있습니다.

여러 수준의 난독화를 제거한 후 infosec 연구원은 공격자의 Command-and-Control 서버(C2, C&C)와의 통신을 위한 자체 파괴, 타이밍 수정 및 맞춤형 프로토콜을 위한 명령을 발견할 수 있었습니다. 원격 서버와의 연결은 파일을 통한 TCP 통신을 허용하는 Linux 커널의 모호한 기능을 통해 이루어집니다. 또한 연결은 Dropbear SSH 서비스인 것처럼 가장하는 포트 443을 통해 TCP를 통해 전달됩니다. 궁극적으로 공격자는 침해된 시스템에서 임의의 명령을 실행할 수 있습니다.

결론

CronRAT은 위협적인 기능으로 인해 Linux 전자 상거래 서버에 심각한 위협으로 간주됩니다. 위협에는 파일 없는 실행, 타이밍 변조, 바이너리, 난독화된 프로토콜 사용, 페이로드를 숨기기 위한 합법적인 CRON 예약 작업 이름 사용 등과 같은 탐지 회피 기술이 있습니다. 실제로는 거의 감지할 수 없으며 대상 Linux 서버를 보호하기 위해 특별한 조치를 구현해야 할 수도 있습니다.