NginRAT

サイバー犯罪者は、eコマースサーバーに対する攻撃でNginRATという名前の新しいリモートアクセストロイの木馬（RAT）の脅威を展開しています。脅迫的な操作の目的は、侵害されたオンラインストアから支払いカード情報を収集することです。これまでのところ、NginRATの犠牲者は、北米、ドイツ、フランスで確認されています。

NginRATで採用されている回避技術により、セキュリティソリューションに捕まるのは非常に困難です。この脅威は、Linuxホストシステムのコア機能を変更することにより、ホストのNginxアプリケーションを乗っ取ります。より具体的には、正規のNginx Webサーバーがdlopenなどの機能を実行するたびに、NginRATはそれをインターセプトし、それ自体を挿入します。その結果、RATは正当なプロセスと見分けがつかなくなります。

NginRATの脅威を分析したセキュリティ会社によると、侵害されたプロセスを示す方法があります。脅威はLD_L1BRARY_PATH（タイプミスあり）を使用するため、研究者は次のコマンドを実行することをお勧めします。

$ sudo grep -al LD_L1BRARY_PATH / proc / * / environ | grep -v self /

/ proc / 17199 / environment

/ proc / 25074 / e nviron

また、NginRATがCronRATという名前の別のRATマルウェアによってターゲットサーバーに配信されたことも発見しました。 2つの脅威は同じ役割を果たします。つまり、感染したマシンへのバックドアアクセスを提供しますが、それらは異なる方法に依存しています。たとえば、CronRATは、2月31日などの存在しない日付に実行されるように設定されているため、実行されない有効なスケジュールされたタスクで破損したコードを非表示にします。

両方の脅威が同時に存在することが確認されているため、サーバー上でNginRATが見つかった場合、管理者はcronタスクでCronRATによって隠されている可能性のある破損したコードの兆候がないかどうかも確認する必要があります。