Saugumo tyrinėtojai atrado naują Linux nuotolinės prieigos Trojos arklys (RAT), kuris palaiko beveik nematomą profilį, slepiasi užduotyse, kurias planuojama atlikti neegzistuojančią dieną, vasario 31 d.
Pavadinta CronRAT, kenkėjiška programa šiuo metu nukreipta į internetines parduotuves ir leidžia užpuolikams pavogti kredito kortelių duomenis įdiegiant internetinių mokėjimų skimerius Linux serveriuose.
Dėl išradingumo ir rafinuotumo, kai kalbama apie kenkėjiškas programas internetinėms parduotuvėms, CronRAT neaptinka daugelis antivirusinių variklių.
Išmani slėptuvė naudingiesiems kroviniams
CronRAT piktnaudžiauja Linux užduočių planavimo sistema cron, kuri leidžia planavimo užduotis vykdyti neegzistuojančiomis kalendorinėmis dienomis, pavyzdžiui, vasario 31 d.
„Linux cron“ sistema priima datos specifikacijas, jei jos yra tinkamo formato, net jei dienos kalendoriuje nėra, o tai reiškia, kad suplanuota užduotis nebus vykdoma.
Tuo CronRAT remiasi, kad pasiektų savo slaptumą. Šiandien Nyderlandų kibernetinio saugumo įmonės „Sansec“ ataskaitoje paaiškinama, kad suplanuotuose užduočių pavadinimuose ji slepia „išgalvotą Bash programą“.
„CronRAT“ prie „crontab“ prideda užduočių seriją su įdomia datos specifikacija: 52 23 31 2 3. Šios eilutės yra sintaksiškai galiojančios, tačiau jas vykdant sugeneruotų vykdymo klaidą. Tačiau tai niekada neįvyks, nes jie turėtų prasidėti vasario 31 d., aiškina Sansec tyrėjai.
Naudingos apkrovos yra paslėptos naudojant kelis suspaudimo ir „Base64“ kodavimo sluoksnius. Švarus, kodas apima savęs naikinimo komandas, laiko moduliavimą ir pasirinktinį protokolą, leidžiantį susisiekti su nuotoliniu serveriu.
Tyrėjai pastebi, kad kenkėjiška programa susisiekia su komandų ir valdymo (C2) serveriu (47.115.46.167), naudodama „egzotišką Linux branduolio savybę, leidžiančią TCP bendrauti per failą“.
Be to, ryšys užmezgamas per TCP per 443 prievadą, naudojant netikrą Dropbear SSH paslaugos reklamjuostę, kuri taip pat padeda kenkėjiškai programai likti po radaru.
Susisiekus su C2 serveriu, maskuotė nukrenta, siunčia ir gauna įvairias komandas bei gauna kenkėjišką dinaminę biblioteką. Pasibaigus šiems mainams, CronRAT užpuolikai gali vykdyti bet kurią komandą pažeistoje sistemoje.
„CronRAT“ buvo rasta įvairiose pasaulio parduotuvėse, kur į serverį buvo naudojami scenarijai, vagiantys mokėjimo kortelių duomenis, vadinamosios „Magecart“ atakos.
Sansec apibūdina naują kenkėjišką programą kaip „rimtą grėsmę Linux el. prekybos serveriams“ dėl savo galimybių:
- Veikia be failų
- laiko moduliacija
- Apsaugos nuo klastojimo kontrolinė suma
- Valdomas dvejetainiu protokolu ir užmaskuotas
- Iš viso paleiskite RAT atskirame „Linux“ posistemyje
- Valdykite serverį, paslėptą kaip „Dropbear SSH“ paslauga
- Paslėpta naudingoji apkrova teisėtuose CRON suplanuotų užduočių pavadinimuose
Dėl visų šių funkcijų CronRAT praktiškai neįmanoma aptikti. „VirusTotal“ nuskaitymo tarnyboje 12 antivirusinių sistemų nepavyko apdoroti kenkėjiško failo, o 58 iš jų neaptiko jo kaip grėsmės.
Sansec pažymi, kad nauja CronRAT vykdymo technika taip pat aplenkė aptikimo algoritmą „eComscan“, todėl mokslininkai turėjo jį perrašyti, kad aptiktų naują grėsmę.
Ką tu manai?
