CronRAT

Изощренная угроза вредоносного ПО, использующая инновационные методы для маскировки своих гнусных действий, была обнаружена исследователями голландской компании по кибербезопасности. Угроза, получившая название CronRAT, классифицируется как троян RAT - Remote Access. Он нацелен на интернет-магазины и предоставляет злоумышленникам возможность внедрить скиммеры онлайн-платежей на скомпрометированные серверы Linux. В конечном итоге цель хакеров - получить данные кредитной карты, которые впоследствии могут быть использованы. Многочисленные техники уклонения, используемые угрозой, делают ее практически необнаружимой.

Технические подробности

Отличительной чертой CronRAT является то, как он злоупотребляет системой планирования задач Linux (cron), чтобы скрыть сложную программу Bash. Вредоносная программа внедряет в crontab несколько задач в допустимом формате, чтобы система их принимала. Эти задачи приведут к ошибке времени выполнения при выполнении, но этого не произойдет, потому что они запланированы на несуществующие даты, например 31 февраля. Поврежденный код угрозы скрыт в названиях этих запланированных задач.

Пройдя несколько уровней обфускации, исследователи информационной безопасности смогли раскрыть команды для самоуничтожения, изменения времени и специально созданный протокол для связи с сервером Command-and-Control (C2, C&C) злоумышленников. Связь с удаленным сервером достигается с помощью неясной функции ядра Linux, которая разрешает TCP-связь через файл. Кроме того, соединение передается по TCP через порт 443, который притворяется службой SSH Dropbear. В конечном итоге злоумышленники смогут выполнять произвольные команды в взломанных системах.

Заключение

CronRAT считается серьезной угрозой для серверов электронной коммерции Linux из-за его угрожающих возможностей. У угрозы есть методы обнаружения и уклонения, такие как выполнение без файлов, модуляция времени, использование двоичного, запутанного протокола, использование законных имен запланированных задач CRON для сокрытия полезной нагрузки и многое другое. На практике это практически невозможно обнаружить, и могут потребоваться специальные меры для защиты целевых серверов Linux.