CronRAT

一家荷蘭網絡安全公司的研究人員發現了一種複雜的惡意軟件威脅，它採用創新技術來掩蓋其惡意行為。該威脅名為 CronRAT，被歸類為 RAT - 遠程訪問木馬。它以網絡商店為目標，並為攻擊者提供了將在線支付撇油器注入受感染 Linux 服務器的方法。最終，黑客的目標是獲取以後可以被利用的信用卡數據。威脅採用的眾多規避技術使其幾乎無法檢測到。

技術細節

CronRAT 的突出特點是它濫用 Linux 任務調度系統 (cron) 來隱藏複雜的 Bash 程序的方式。惡意軟件向 crontab 注入了幾個具有有效格式的任務，以便系統接受它們。這些任務在執行時會導致運行時錯誤，但這不會發生，因為它們被安排在不存在的日期運行，例如 2 月 31 日。威脅的損壞代碼隱藏在這些計劃任務的名稱中。

在剝離了幾個級別的混淆之後，信息安全研究人員能夠發現自毀命令、時間修改命令以及用於與攻擊者的命令和控制服務器（C2、C&C）通信的定制協議。與遠程服務器的聯繫是通過 Linux 內核的一個模糊功能實現的，該功能允許通過文件進行 TCP 通信。此外，該連接通過偽裝成 Dropbear SSH 服務的 443 端口通過 TCP 進行。最終，攻擊者將能夠在被破壞的系統上執行任意命令。

結論

由於其威脅能力，CronRAT 被認為是對 Linux 電子商務服務器的嚴重威脅。該威脅具有檢測規避技術，例如無文件執行、定時調製、使用二進制混淆協議、使用合法的 CRON 計劃任務名稱來隱藏有效載荷等。實際上，它幾乎無法檢測到，可能需要採取特殊措施來保護其目標 Linux 服務器。