CronRAT
オランダのサイバーセキュリティ会社の研究者は、革新的な手法を使用して不正なアクションをマスクする高度なマルウェアの脅威を特定しました。 CronRATという名前のこの脅威は、RAT(リモートアクセス型トロイの木馬)として分類されます。これはWebストアを標的とし、攻撃者にオンライン支払いスキマーを侵入先のLinuxサーバーに注入する手段を提供します。最終的に、ハッカーの目標は、後で悪用される可能性のあるクレジットカードデータを取得することです。脅威によって採用された多数の回避技術により、脅威はほとんど検出されなくなります。
技術的な詳細
CronRATの際立った特徴は、Linuxタスクスケジューリングシステム(cron)を悪用して洗練されたBashプログラムを隠す方法です。マルウェアは、有効な形式のいくつかのタスクをcrontabに挿入して、システムがそれらを受け入れるようにします。これらのタスクは、実行時に実行時エラーが発生しますが、2月31日などの存在しない日付に実行されるようにスケジュールされているため、発生しません。脅威の破損したコードは、これらのスケジュールされたタスクの名前に隠されています。
いくつかのレベルの難読化を取り除いた後、infosecの研究者は、自己破壊、タイミング変更、および攻撃者のコマンドアンドコントロールサーバー(C2、C&C)と通信するためのカスタムビルドプロトコルのコマンドを発見することができました。リモートサーバーとの接続は、ファイルを介したTCP通信を可能にするLinuxカーネルのあいまいな機能を介して行われます。さらに、接続は、DropbearSSHサービスを装ってポート443を介してTCP経由で伝送されます。最終的に、攻撃者は侵害されたシステムで任意のコマンドを実行できるようになります。
結論
CronRATは、その脅威的な機能により、Linuxeコマースサーバーに対する深刻な脅威と見なされています。この脅威には、ファイルレス実行、タイミング変調、バイナリの難読化されたプロトコルの使用、ペイロードを非表示にするための正当なCRONスケジュールタスク名の使用などの検出回避技術があります。実際には、これは事実上検出できず、対象のLinuxサーバーを保護するために特別な対策を講じる必要がある場合があります。
