NginRAT

Nettkriminelle distribuerer en ny Remote Access Trojan (RAT) trussel kalt NginRAT i angrep mot e-handelsservere. Målet med den truende operasjonen er å samle inn betalingskortinformasjon fra kompromitterte nettbutikker. Så langt er ofre for NginRAT identifisert i Nord-Amerika, Tyskland og Frankrike.

Unngåelsesteknikkene som brukes av NginRAT gjør det ekstremt vanskelig å bli fanget av sikkerhetsløsninger. Trusselen kaprer vertens Nginx-applikasjon ved å modifisere kjernefunksjonaliteten til Linux-vertssystemet. Mer spesifikt, når den legitime Nginx webserver utfører en funksjonalitet, for eksempel dlopen, NginRAT fanger det og injiserer seg selv. Som et resultat blir RAT umulig å skille fra en legitim prosess.

I følge sikkerhetsselskapet som analyserte NginRAT-trusselen, er det en måte å vise de kompromitterte prosessene. Trusselen bruker LD_L1BRARY_PATH (med en skrivefeil), så forskerne anbefaler å kjøre følgende kommando:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/

/proc/17199/environ

/proc/25074/e nviron

De oppdaget også at NginRAT ble levert til de målrettede serverne av en annen RAT-skadevare kalt CronRAT . De to truslene fyller samme rolle - gir bakdørstilgang til den infiserte maskinen, men de er avhengige av forskjellige metoder. For eksempel skjuler CronRAT sin korrupte kode i gyldige planlagte oppgaver som aldri vil bli utført fordi de er satt til å kjøre på ikke-eksisterende datoer som 31. februar.

Fordi begge truslene har blitt observert å være tilstede samtidig, hvis NginRAT blir funnet på en server, bør administratorer også sjekke cron-oppgavene for tegn på en ødelagt kode som kan være skjult der av CronRAT.

Trender

Mest sett

Laster inn...