Licenser för flera enheter (volymrabatter)
Threat Database Remote Administration Tools CronRAT

CronRAT

Med Mezo år Remote Administration Tools
Översätt till:
Svenska

Ett sofistikerat hot mot skadlig programvara som använder innovativa tekniker för att maskera sina skändliga handlingar har identifierats av forskarna vid ett holländskt cybersäkerhetsföretag. Hotet heter CronRAT och klassificeras som en RAT - Remote Access Trojan. Den riktar sig till webbbutiker och ger angriparna möjlighet att injicera onlinebetalningsskimmers på de komprometterade Linux-servrarna. I slutändan är målet för hackarna att skaffa kreditkortsdata som senare kan utnyttjas. De många flykttekniker som används av hotet gör det nästan omöjligt att upptäcka.

Tekniska detaljer

Det utmärkande kännetecknet för CronRAT är hur det missbrukar Linux-uppgiftsschemaläggningssystemet (cron) för att dölja ett sofistikerat Bash-program. Skadlig programvara injicerar flera uppgifter till crontab som har ett giltigt format så att systemet accepterar dem. Dessa uppgifter kommer att resultera i ett körtidsfel när de körs, men det kommer inte att hända eftersom de är schemalagda att köras på obefintliga datum, som 31 februari. Den skadade koden för hotet är gömd i namnen på dessa schemalagda uppgifter.

Efter att ha skalat flera nivåer av förvirring kunde infosec-forskare avslöja kommandon för självförstörelse, timingändringar och ett specialbyggt protokoll för kommunikation med angriparnas Command-and-Control-server (C2, C&C). Kontakten med fjärrservern uppnås via en obskyr funktion i Linux-kärnan som tillåter TCP-kommunikation via en fil. Dessutom överförs anslutningen över TCP via port 443 som låtsas vara en Dropbear SSH-tjänst. I slutändan kommer angriparna att kunna utföra godtyckliga kommandon på de överträdda systemen.

Slutsats

CronRAT anses vara ett allvarligt hot mot Linux e-handelsservrar på grund av dess hotfulla kapacitet. Hotet har tekniker för upptäcktsundandragande, såsom fillös exekvering, timingmodulering, användning av ett binärt, obfuskerat protokoll, användning av legitima CRON-schemalagda uppgiftsnamn för att dölja nyttolaster och mer. I praktiken är det praktiskt taget omöjligt att upptäcka och särskilda åtgärder kan behöva implementeras för att skydda deras riktade Linux-servrar.

Trendigt

Mest sedda

Läser in...