首页保安隐藏在日期无效的 cron 作业中的新 Linux 木马

隐藏在日期无效的 cron 作业中的新 Linux 木马

安全研究人员发现了一种用于 Linux 系统的新远程访问木马 (RAT),它通过隐藏计划在 31 月 XNUMX 日不存在的一天运行的任务来维护几乎不可见的配置文件。

Linux木马

另见: 黑客在电子商务服务器上传播 Linux 恶意软件

以后命名 克隆大鼠,恶意软件目前正在瞄准网络商店,并允许入侵者通过在 Linux 服务器上部署在线支付撇取器来窃取信用卡数据。

CronRAT 具有高度创造性和复杂性,但许多防病毒机器都无法检测到。

Linux 任务调度系统 cron 被滥用,从而允许在不存在的日历日执行调度任务,例如 31 月 XNUMX 日。

只要日期规范有效,cron Linux 系统就接受它们,即使日期不在日历中。 这意味着不会执行计划任务。

CronRAT 正是基于此来实现它的目标。 根据荷兰网络安全公司的一份报告 桑赛克,Linux 木马在计划任务的名称中隐藏了一个“Bash 高级程序”。

«CronRAT 向 crontab 添加了一些带有奇怪日期规范的任务:52 23 31 2 3。这些行在语法上是有效的,但在执行过程中会产生运行时错误。 但是,这永远不会发生,因为它们计划于 31 月 XNUMX 日运行Sansec 研究人员解释说。

另见: Android BrazKing 恶意软件作为银行木马返回

该代码包括用于自毁、定时配置和允许与远程通信的自定义协议的命令 服务器.

研究人员指出,该木马使用“允许通过文件进行 TCP 通信的 Linux 内核功能“。

cron的

此外,该连接是通过 TCP 端口 443 建立的,使用 Dropbear SSH 的虚假横幅,这也有助于恶意软件保持隐藏状态。

与服务器 C2 通信后,伪装被暴露,它发送和接收许多命令并接收恶意库。 在这些交换结束时,CronRAT 背后的入侵者可以在受感染的系统上执行任何命令。

另见: SharkBot:针对欧洲银行的新型 Android 银行木马

Sansec 将新恶意软件描述为“对 Linux 电子商务服务器的严重威胁”,由于其功能:

  • 无文件执行
  • 时序配置
  • 违规控制金额
  • 它通过二进制模糊协议进行控制
  • 在单独的 Linux 子系统上启动串联 RAT
  • 伪装成“Dropbear SSH”服务的控制服务器。
  • 有效负载隐藏在合法的 CRON 计划作业名称中

所有这些功能使 CronRAT 几乎无法检测到。 Sansec 指出,CronRAT 的新执行技术也绕过了 eComscan 检测算法,研究人员不得不重写它以发现新的 威胁.

没有米娅https://www.secnews.gr
在一个不断尝试改变你的世界里,做你自己,是你最大的成就
现货图片

实时新闻