Новое вредоносное ПО для Linux прячется в заданиях cron с недопустимыми датами

11
Новое вредоносное ПО для Linux прячется в заданиях cron с недопустимыми датами

Исследователи безопасности обнаружили новый троян удаленного доступа (RAT) для Linux, который сохраняет почти невидимый профиль, скрываясь в задачах, запланированных для выполнения на несуществующий день, 31 февраля.

Вредоносная программа, получившая название CronRAT, в настоящее время нацелена на интернет-магазины и позволяет злоумышленникам красть данные кредитных карт, развертывая скиммеры онлайн-платежей на серверах Linux.

Что касается вредоносного ПО для интернет-магазинов, то CronRAT не может быть обнаружен многими антивирусными ядрами.

Умное укрытие для полезной нагрузки

CronRAT злоупотребляет системой планирования задач Linux, cron, которая позволяет планировать выполнение задач в несуществующие дни календаря, например, 31 февраля.

Система cron Linux принимает спецификации даты, если они имеют допустимый формат, даже если день не существует в календаре, что означает, что запланированная задача не будет выполнена.

Это то, на что полагается CronRAT для достижения своей скрытности. В сегодняшнем отчете голландской компании по кибербезопасности Sansec объясняется, что она скрывает «сложную программу Bash» в названиях запланированных задач.

«CronRAT добавляет в crontab ряд задач с любопытной спецификацией даты: 52 23 31 2 3. Эти строки синтаксически верны, но при выполнении будут генерировать ошибку времени выполнения. Однако этого никогда не произойдет, поскольку их запуск запланирован на 31 февраля », — поясняют исследователи Sansec.

Полезные данные запутываются с помощью нескольких уровней сжатия и кодирования Base64. Очищенный код включает команды для самоуничтожения, временной модуляции и настраиваемый протокол, позволяющий взаимодействовать с удаленным сервером.

Исследователи отмечают, что вредоносная программа связывается с сервером управления и контроля (C2) (47.115.46.167), используя «экзотическую функцию ядра Linux, которая обеспечивает TCP-связь через файл».

Кроме того, соединение осуществляется по TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH, что также помогает вредоносному ПО оставаться незамеченным.

После обращения к серверу C2 маскировка падает, отправляет и получает несколько команд и получает вредоносную динамическую библиотеку. В конце этих обменов злоумышленники, стоящие за CronRAT, могут выполнить любую команду в скомпрометированной системе.

CronRAT был обнаружен во многих магазинах по всему миру, где он использовался для внедрения на сервер скриптов, крадущих данные платежных карт, — так называемые атаки Magecart.

Sansec описывает новое вредоносное ПО как «серьезную угрозу для серверов электронной коммерции Linux» из-за его возможностей:

  • Безфайловое исполнение
  • Модуляция времени
  • Контрольные суммы защиты от взлома
  • Управляется двоичным запутанным протоколом
  • Запускает тандемный RAT в отдельной подсистеме Linux
  • Сервер управления замаскирован под службу «Dropbear SSH»
  • Полезная нагрузка скрыта в допустимых именах запланированных задач CRON

Все эти особенности делают CronRAT практически незаметным. В службе сканирования VirusTotal 12 антивирусных ядер не смогли обработать вредоносный файл, а 58 из них не обнаружили в нем угрозу.

Сансек отмечает, что новый метод выполнения CronRAT также обошел его алгоритм обнаружения, eComscan, и исследователям пришлось переписать его, чтобы отловить новую угрозу.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here