CronRAT

一家荷兰网络安全公司的研究人员发现了一种复杂的恶意软件威胁，它采用创新技术来掩盖其恶意行为。该威胁名为 CronRAT，被归类为 RAT - 远程访问木马。它以网络商店为目标，并为攻击者提供了将在线支付撇油器注入受感染 Linux 服务器的方法。最终，黑客的目标是获取以后可以被利用的信用卡数据。威胁采用的众多规避技术使其几乎无法检测到。

技术细节

CronRAT 的突出特点是它滥用 Linux 任务调度系统 (cron) 来隐藏复杂的 Bash 程序的方式。恶意软件向 crontab 注入了几个具有有效格式的任务，以便系统接受它们。这些任务在执行时会导致运行时错误，但这不会发生，因为它们被安排在不存在的日期运行，例如 2 月 31 日。威胁的损坏代码隐藏在这些计划任务的名称中。

在剥离了几个级别的混淆之后，信息安全研究人员能够发现自毁命令、时间修改命令以及用于与攻击者的命令和控制服务器（C2、C&C）通信的定制协议。与远程服务器的联系是通过 Linux 内核的一个模糊功能实现的，该功能允许通过文件进行 TCP 通信。此外，该连接通过伪装成 Dropbear SSH 服务的 443 端口通过 TCP 进行。最终，攻击者将能够在被破坏的系统上执行任意命令。

结论

由于其威胁能力，CronRAT 被认为是对 Linux 电子商务服务器的严重威胁。该威胁具有检测规避技术，例如无文件执行、定时调制、使用二进制混淆协议、使用合法的 CRON 计划任务名称来隐藏有效载荷等。实际上，它几乎无法检测到，可能需要采取特殊措施来保护其目标 Linux 服务器。