NginRAT

網絡犯罪分子正在部署一種名為 NginRAT 的新型遠程訪問木馬 (RAT) 威脅來攻擊電子商務服務器。威脅操作的目標是從受感染的在線商店收集支付卡信息。到目前為止，已經在北美、德國和法國發現了 NginRAT 的受害者。

NginRAT 採用的規避技術使得安全解決方案很難被發現。該威脅通過修改 Linux 主機系統的核心功能來劫持主機的 Nginx 應用程序。更具體地說，每當合法的 Nginx Web 服務器執行一個功能時，例如dlopen ，NginRAT 就會攔截它並註入自己。結果，RAT 變得無法與合法進程區分開來。

根據分析 NginRAT 威脅的安全公司的說法，有一種方法可以顯示受感染的進程。該威脅使用 LD_L1BRARY_PATH（有錯別字），因此研究人員建議運行以下命令：

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v 自己/

/proc/17199/環境

/proc/25074/e nviron

他們還發現 NginRAT 是由另一個名為CronRAT 的RAT 惡意軟件傳送到目標服務器的。這兩種威脅扮演相同的角色——提供對受感染機器的後門訪問，但它們依賴不同的方法。例如，CronRAT 將其損壞的代碼隱藏在永遠不會執行的有效計劃任務中，因為它們被設置為在不存在的日期運行，例如 2 月 31 日。

因為已經觀察到這兩種威脅同時存在，如果在服務器上發現 NginRAT，管理員還應該檢查 cron 任務是否有可能被 CronRAT 隱藏在那裡的損壞代碼的跡象。