Ερευνητές ασφαλείας ανακάλυψαν ένα νέο trojan απομακρυσμένης πρόσβασης (RAT) για Linux που διατηρεί ένα σχεδόν αόρατο προφίλ κρύβοντας τις εργασίες που έχουν προγραμματιστεί για εκτέλεση σε μια ανύπαρκτη ημέρα, την 31η Φεβρουαρίου.
Με την ονομασία CronRAT, το κακόβουλο λογισμικό στοχεύει επί του παρόντος καταστήματα ιστού και επιτρέπει στους εισβολείς να κλέψουν δεδομένα πιστωτικών καρτών αναπτύσσοντας διαδικτυακά skimmers πληρωμής σε διακομιστές Linux.
Το CronRAT, που χαρακτηρίζεται από εφευρετικότητα και πολυπλοκότητα, όσον αφορά το κακόβουλο λογισμικό για ηλεκτρονικά καταστήματα, δεν εντοπίζεται από πολλές μηχανές προστασίας από ιούς.
Έξυπνο κρησφύγετο για payload
Το CronRAT καταχράται το σύστημα προγραμματισμού εργασιών Linux, το cron, το οποίο επιτρέπει την εκτέλεση εργασιών προγραμματισμού σε ανύπαρκτες ημέρες του ημερολογίου, όπως η 31η Φεβρουαρίου.
Το σύστημα cron Linux δέχεται τις προδιαγραφές ημερομηνίας εφόσον έχουν έγκυρη μορφή, ακόμα κι αν η ημέρα δεν υπάρχει στο ημερολόγιο – πράγμα που σημαίνει ότι η προγραμματισμένη εργασία δεν θα εκτελεστεί.
Σε αυτό βασίζεται η CronRAT για να πετύχει το stealth της. Μια σημερινή αναφορά από την ολλανδική εταιρεία κυβερνοασφάλειας Sansec εξηγεί ότι κρύβει ένα «σύνθετο πρόγραμμα Bash» στα ονόματα των προγραμματισμένων εργασιών.
“Το CronRAT προσθέτει έναν αριθμό εργασιών στο crontab με μια περίεργη προδιαγραφή ημερομηνίας: 52 23 31 2 3. Αυτές οι γραμμές είναι συντακτικά έγκυρες, αλλά θα δημιουργήσουν ένα σφάλμα χρόνου εκτέλεσης κατά την εκτέλεση. Ωστόσο, αυτό δεν θα συμβεί ποτέ καθώς είναι προγραμματισμένο να εκτελεστούν στις 31 Φεβρουαρίου», εξηγούν οι ερευνητές της Sansec.
Τα payloads «χάνονται» μέσω πολλαπλών επιπέδων συμπίεσης και κωδικοποίησης Base64. Καθαρισμένος, ο κώδικας περιλαμβάνει εντολές για αυτοκαταστροφή, διαμόρφωση χρονισμού και ένα προσαρμοσμένο πρωτόκολλο που επιτρέπει την επικοινωνία με έναν απομακρυσμένο διακομιστή.
Οι ερευνητές σημειώνουν ότι το κακόβουλο λογισμικό έρχεται σε επαφή με έναν διακομιστή εντολών και ελέγχου (C2) (47.115.46.167) χρησιμοποιώντας ένα «εξωτικό χαρακτηριστικό του πυρήνα Linux που επιτρέπει την επικοινωνία TCP μέσω ενός αρχείου».
Επιπλέον, η σύνδεση γίνεται μέσω TCP μέσω της θύρας 443 χρησιμοποιώντας ένα ψεύτικο banner για την υπηρεσία Dropbear SSH, το οποίο βοηθά επίσης το κακόβουλο λογισμικό να παραμείνει κάτω από το ραντάρ.
Αφού επικοινωνήσετε με τον διακομιστή C2, η μεταμφίεση πέφτει, στέλνει και λαμβάνει πολλές εντολές και λαμβάνει μια κακόβουλη δυναμική βιβλιοθήκη. Στο τέλος αυτών των ανταλλαγών, οι εισβολείς πίσω από το CronRAT μπορούν να εκτελέσουν οποιαδήποτε εντολή στο παραβιασμένο σύστημα.
Το CronRAT έχει βρεθεί σε πολλά καταστήματα σε όλο τον κόσμο, όπου χρησιμοποιήθηκε για την εισαγωγή σεναρίων στον διακομιστή που κλέβουν δεδομένα καρτών πληρωμής – τις λεγόμενες επιθέσεις Magecart.
Η Sansec περιγράφει το νέο κακόβουλο λογισμικό ως «μια σοβαρή απειλή για τους διακομιστές ηλεκτρονικού εμπορίου Linux», λόγω των δυνατοτήτων του:
- Εκτέλεση χωρίς αρχείο
- Διαμόρφωση χρονισμού
- Αθροίσματα ελέγχου κατά της παραβίασης
- Ελέγχεται μέσω δυαδικού, ασαφούς πρωτοκόλλου
- Εκκινεί το tandem RAT σε ξεχωριστό υποσύστημα Linux
- Διακομιστής ελέγχου μεταμφιεσμένος ως υπηρεσία “Dropbear SSH”.
- Το ωφέλιμο φορτίο είναι κρυμμένο σε νόμιμα ονόματα προγραμματισμένων εργασιών CRON
Όλα αυτά τα χαρακτηριστικά καθιστούν το CronRAT ουσιαστικά μη ανιχνεύσιμο. Στην υπηρεσία σάρωσης VirusTotal, 12 μηχανές προστασίας από ιούς δεν μπόρεσαν να επεξεργαστούν το κακόβουλο αρχείο και 58 από αυτές δεν το εντόπισαν ως απειλή.
Η Sansec σημειώνει ότι η νέα τεχνική εκτέλεσης του CronRAT παρέκαμψε επίσης τον αλγόριθμο ανίχνευσης, το eComscan, και οι ερευνητές έπρεπε να τον ξαναγράψουν για να συλλάβουν τη νέα απειλή.
