Новая малварь для Linux, CronRAT, скрывается в cron job с неверными датами - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Новая малварь для Linux, CronRAT, скрывается в cron job с неверными датами - «Новости»

Исследователи из голландской компании Sansec обнаружили новый троян удаленного доступа (RAT) для Linux, который избегает обнаружения, скрываясь в задачах, запланированных для выполнения на несуществующий день — 31 февраля.


Малварь получила название CronRAT и в основном атакует интернет-магазины, позволяя злоумышленникам воровать данные банковских карт и разворачивать веб-скиммеры на серверах Linux (то есть осуществлять так называемые атаки MageCart). К сожалению, многие защитные решения попросту «не видят» CronRAT из-за ряда особенностей в его работе.


CronRAT злоупотребляет системой планирования задач в Linux, cron, которая позволяет запланировать выполнение задач на несуществующие дни календаря, например, 31 февраля. При этом система cron принимает такие даты, если они имеют допустимый формат (даже если день не существует в календаре), но такая запланированная задача просто не будет выполнена.


Используя эту особенность, CronRAT остается практически незаметным. В своем отчете эксперты Sansec рассказывают, что малварь скрывает «сложную bash-программу» в названиях таких запланированных задач.


«CronRAT добавляет в crontab ряд задач с любопытной спецификацией даты: 52 23 31 2 3. Эти строки синтаксически верны, но при выполнении будут генерировать run time ошибку. Впрочем, этого никогда не произойдет, поскольку запуск таких задач вообще запланирован на 31 февраля».


Фактический пейлоад обфусцирован с помощью нескольких уровней сжатия и Base64. Исследователи говорят, что этот код включает команды для самоуничтожения, модуляции времени и кастомный протокол, позволяющий взаимодействовать с удаленным сервером.






Известно, что малварь связывается с C&C-сервером (47.115.46.167), используя «экзотическую функцию ядра Linux, которая обеспечивает TCP-связь через файл». Кроме того, соединение осуществляется посредством TCP через порт 443 с использованием поддельного баннера для службы Dropbear SSH, что также помогает трояну оставаться незамеченным.


Как уже было сказано выше, CronRAT был обнаружен во многих онлайн-магазинах по всему миру, где он использовался для внедрения специальных скриптов-скиммеров, ворующих данные платежных карт. Sansec описывает малварь как «серьезную угрозу для eCommerce-серверов на базе Linux».


Проблема усугубляет тем, что CronRAT практически незаметен для защитных решений. По данным VirusTotal, 12 антивирусных решений вообще не смогли обработать вредоносный файл, а 58 не обнаружили в нем угрозы.





 

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Исследователи из голландской компании Sansec обнаружили новый троян удаленного доступа (RAT) для Linux, который избегает обнаружения, скрываясь в задачах, запланированных для выполнения на несуществующий день — 31 февраля. Малварь получила название CronRAT и в основном атакует интернет-магазины, позволяя злоумышленникам воровать данные банковских карт и разворачивать веб-скиммеры на серверах Linux (то есть осуществлять так называемые атаки MageCart). К сожалению, многие защитные решения попросту «не видят» CronRAT из-за ряда особенностей в его работе. CronRAT злоупотребляет системой планирования задач в Linux, cron, которая позволяет запланировать выполнение задач на несуществующие дни календаря, например, 31 февраля. При этом система cron принимает такие даты, если они имеют допустимый формат (даже если день не существует в календаре), но такая запланированная задача просто не будет выполнена. Используя эту особенность, CronRAT остается практически незаметным. В своем отчете эксперты Sansec рассказывают, что малварь скрывает «сложную bash-программу» в названиях таких запланированных задач. «CronRAT добавляет в crontab ряд задач с любопытной спецификацией даты: 52 23 31 2 3. Эти строки синтаксически верны, но при выполнении будут генерировать run time ошибку. Впрочем, этого никогда не произойдет, поскольку запуск таких задач вообще запланирован на 31 февраля». Фактический пейлоад обфусцирован с помощью нескольких уровней сжатия и Base64. Исследователи говорят, что этот код включает команды для самоуничтожения, модуляции времени и кастомный протокол, позволяющий взаимодействовать с удаленным сервером. Известно, что малварь связывается с C
CSS
запостил(а)
Austin
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: