NginRAT

网络犯罪分子正在部署一种名为 NginRAT 的新型远程访问木马 (RAT) 威胁来攻击电子商务服务器。威胁操作的目标是从受感染的在线商店收集支付卡信息。到目前为止，已经在北美、德国和法国发现了 NginRAT 的受害者。

NginRAT 采用的规避技术使得安全解决方案很难被发现。该威胁通过修改 Linux 主机系统的核心功能来劫持主机的 Nginx 应用程序。更具体地说，每当合法的 Nginx Web 服务器执行一个功能时，例如dlopen ，NginRAT 就会拦截它并注入自己。结果，RAT 变得无法与合法进程区分开来。

根据分析 NginRAT 威胁的安全公司的说法，有一种方法可以显示受感染的进程。该威胁使用 LD_L1BRARY_PATH（有错别字），因此研究人员建议运行以下命令：

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v 自己/

/proc/17199/环境

/proc/25074/e nviron

他们还发现 NginRAT 是由另一个名为CronRAT 的RAT 恶意软件传送到目标服务器的。这两种威胁扮演相同的角色——提供对受感染机器的后门访问，但它们依赖不同的方法。例如，CronRAT 将其损坏的代码隐藏在永远不会执行的有效计划任务中，因为它们被设置为在不存在的日期运行，例如 2 月 31 日。

因为已经观察到这两种威胁同时存在，如果在服务器上发现 NginRAT，管理员还应该检查 cron 任务是否有可能被 CronRAT 隐藏在那里的损坏代码的迹象。