CronRAT

Wyrafinowane zagrożenie złośliwym oprogramowaniem, które wykorzystuje innowacyjne techniki do maskowania swoich nikczemnych działań, zostało zidentyfikowane przez badaczy z holenderskiej firmy zajmującej się cyberbezpieczeństwem. Zagrożenie o nazwie CronRAT jest sklasyfikowane jako trojan zdalnego dostępu RAT. Jest skierowany do sklepów internetowych i zapewnia atakującym środki do wstrzykiwania skimmerów płatności online na zhakowane serwery Linux. Ostatecznie celem hakerów jest zdobycie danych karty kredytowej, które można później wykorzystać. Liczne techniki unikania wykorzystywane przez zagrożenie sprawiają, że jest ono prawie niewykrywalne.

Szczegóły techniczne

Cechą wyróżniającą CronRAT jest sposób, w jaki wykorzystuje on system planowania zadań Linuksa (cron), aby ukryć wyrafinowany program Bash. Złośliwe oprogramowanie wstrzykuje do crontab kilka zadań, które mają poprawny format, więc system je akceptuje. Te zadania po wykonaniu spowodują błąd w czasie wykonywania, ale tak się nie stanie, ponieważ zaplanowano ich uruchamianie w nieistniejących datach, takich jak 31 lutego. Uszkodzony kod zagrożenia jest ukryty w nazwach tych zaplanowanych zadań.

Po zbadaniu kilku poziomów zaciemniania, badacze infosec byli w stanie odkryć polecenia do samozniszczenia, modyfikacji czasu i niestandardowego protokołu komunikacji z serwerem dowodzenia i kontroli atakujących (C2, C&C). Kontakt ze zdalnym serwerem jest osiągany przez niejasną funkcję jądra Linux, która umożliwia komunikację TCP za pośrednictwem pliku. Ponadto połączenie jest przenoszone przez TCP przez port 443 udający usługę Dropbear SSH. Docelowo osoby atakujące będą mogły wykonywać dowolne polecenia na naruszonych systemach.

Wniosek

CronRAT jest uważany za poważne zagrożenie dla serwerów eCommerce z systemem Linux ze względu na jego groźne możliwości. Zagrożenie ma techniki unikania wykrycia, takie jak wykonanie bez plików, modulacja czasu, użycie zaciemnionego protokołu binarnego, użycie legalnych nazw zadań zaplanowanych przez CRON w celu ukrycia ładunku i nie tylko. W praktyce jest praktycznie niewykrywalny i konieczne może być wdrożenie specjalnych środków w celu ochrony docelowych serwerów Linux.