CronRAT

Onderzoekers van een Nederlands cyberbeveiligingsbedrijf hebben een geavanceerde malwarebedreiging geïdentificeerd die gebruikmaakt van innovatieve technieken om zijn snode acties te maskeren. Met de naam CronRAT, is de dreiging geclassificeerd als een RAT - Remote Access Trojan. Het is gericht op webwinkels en biedt aanvallers de middelen om online betalingsskimmers op de gecompromitteerde Linux-servers te injecteren. Uiteindelijk is het doel van de hackers om creditcardgegevens te verkrijgen die later kunnen worden misbruikt. De talrijke ontwijkingstechnieken die door de dreiging worden gebruikt, maken het bijna ondetecteerbaar.

Technische details

Het opvallende kenmerk van CronRAT is de manier waarop het misbruik maakt van het Linux-taakplanningssysteem (cron) om een geavanceerd Bash-programma te verbergen. De malware injecteert verschillende taken in crontab die een geldige indeling hebben, zodat het systeem ze accepteert. Deze taken zullen resulteren in een runtime-fout wanneer ze worden uitgevoerd, maar dat zal niet gebeuren omdat ze zijn gepland om te worden uitgevoerd op niet-bestaande data, zoals 31 februari. De corrupte code van de dreiging is verborgen in de namen van deze geplande taken.

Na verschillende niveaus van verduistering te hebben verwijderd, konden infosec-onderzoekers opdrachten voor zelfvernietiging, timingaanpassingen en een op maat gemaakt protocol voor communicatie met de Command-and-Control-server van de aanvallers (C2, C&C) ontdekken. Het contact met de externe server wordt bereikt via een obscure functie van de Linux-kernel die TCP-communicatie via een bestand mogelijk maakt. Bovendien wordt de verbinding via TCP overgedragen via poort 443 die zich voordoet als een Dropbear SSH-service. Uiteindelijk zullen de aanvallers willekeurige commando's kunnen uitvoeren op de gehackte systemen.

Conclusie

CronRAT wordt beschouwd als een ernstige bedreiging voor Linux eCommerce-servers vanwege de bedreigende mogelijkheden. De dreiging heeft detectie-ontwijkingstechnieken, zoals bestandsloze uitvoering, timingmodulatie, het gebruik van een binair, versluierd protocol, het gebruik van legitieme CRON-geplande taaknamen om payloads te verbergen en meer. In de praktijk is het vrijwel niet op te sporen en moeten mogelijk speciale maatregelen worden genomen om hun beoogde Linux-servers te beschermen.