CronRAT

En sofistikert trussel mot skadelig programvare som bruker innovative teknikker for å maskere sine uhyggelige handlinger, har blitt identifisert av forskerne ved et nederlandsk cybersikkerhetsselskap. Trusselen er kalt CronRAT og er klassifisert som en RAT - Remote Access Trojan. Den retter seg mot nettbutikker og gir angriperne midler til å injisere online betalingsskimmere på de kompromitterte Linux-serverne. Til syvende og sist er målet til hackerne å skaffe kredittkortdata som senere kan utnyttes. De mange unnvikelsesteknikkene som brukes av trusselen gjør den nesten uoppdagelig.

Tekniske detaljer

Det enestående kjennetegnet til CronRAT er måten det misbruker Linux-oppgaveplanleggingssystemet (cron) for å skjule et sofistikert Bash-program. Skadevaren injiserer flere oppgaver til crontab som har et gyldig format slik at systemet godtar dem. Disse oppgavene vil resultere i en kjøretidsfeil når de utføres, men det vil ikke skje fordi de er planlagt å kjøre på ikke-eksisterende datoer, for eksempel 31. februar. Den ødelagte koden til trusselen er skjult i navnene på disse planlagte oppgavene.

Etter å ha skrellet flere nivåer av tilsløring, klarte infosec-forskere å avdekke kommandoer for selvdestruksjon, timingmodifikasjoner og en spesialbygd protokoll for kommunikasjon med angripernes Command-and-Control-server (C2, C&C). Kontakten med den eksterne serveren oppnås via en obskur funksjon i Linux-kjernen som tillater TCP-kommunikasjon gjennom en fil. I tillegg overføres tilkoblingen over TCP via port 443 som utgir seg for å være en Dropbear SSH-tjeneste. Til syvende og sist vil angriperne være i stand til å utføre vilkårlige kommandoer på de brutte systemene.

Konklusjon

CronRAT regnes som en alvorlig trussel mot Linux eCommerce-servere på grunn av dens truende evner. Trusselen har deteksjonsunnvikelsesteknikker, som filløs kjøring, timingmodulering, bruk av en binær, tilslørt protokoll, bruk av legitime CRON-planlagte oppgavenavn for å skjule nyttelast og mer. I praksis er det praktisk talt uoppdagelig, og spesielle tiltak må kanskje implementeres for å beskytte deres målrettede Linux-servere.