CronRat は、スケジュールされたタスクに隠れる新しい Linux トロイの木馬です。 31 月 XNUMX 日の実行日はもちろん無効ですが、多くのセキュリティ プログラムはそれを検出しません。
電子商取引のセキュリティ スペシャリストである Sansec の研究者は、影響を受けるサーバー上のほとんどのセキュリティ アプリケーションから隠れる珍しい方法を発見した、新しい Linux リモート アクセス トロイの木馬 (RAT) を発見しました。 セキュリティ研究者が CronRAT と呼んでいるように、実行日が 31 月 XNUMX 日のスケジュールされたタスクに偽装します。 もちろん、この日付は無効であり、存在しないため、マルウェアはほとんどのウイルス対策プログラムの注意をかいくぐることに成功しています。
CronRat – リモートアクセス型トロイの木馬
セキュリティ研究者は、CronRAT がどのように機能するかを詳しく調べました。 結果は、トロイの木馬が Linux サーバーの cron ツールを悪用していることを示しています。 ネットワーク管理者はこれを使用して、特定の時間にタスクをスケジュールし、その後自動的に実行できます。 このツールは、Linux カレンダー サブシステムに常駐しています。 CronRAT を実行すべき日が存在しないため、管理者のカレンダーにもイベントが表示されません。 ほとんどのセキュリティ プログラムは cron システムもスキャンしないため、このトロイの木馬は目に見えません。 Sansec の場合も、トロイの木馬を検出する前に検出エンジンを書き直す必要がありました。
CronRat - カレンダーに隠されている
サーバーに到達すると、マルウェアは「ファイルを介した TCP 通信を可能にする Linux カーネルのエキゾチックな機能」を使用して、コマンド アンド コントロール サーバーに接続します。 XNUMX 番目のステップでは、トロイの木馬は複数のコマンドを送受信し、悪意のある動的ライブラリを取得します。 この交換の最後に、CronRAT の背後にいる攻撃者は、侵害されたシステムで任意のコマンドを実行できます。
CronRAT は、いわゆる Magecart 攻撃の増加する脅威の多くの例の 4.151 つにすぎません。 オンライン ショップは、顧客の支払いデータを盗むために操作されます。 CronRAT は世界中のいくつかのショップでも発見されており、この方法で正規のオンライン ショップを侵害しようとしているのは CronRAT だけではありません。 FBI は昨年、Magecart 攻撃に関する警告を発表しましたが、これは現在、American National Cyber Security Center (NCSC) によって繰り返されています。 ブラック フライデーに向けて、セキュリティの専門家は、過去 18 か月間にサーバーとチェックアウト ページがハッカーによって侵害された XNUMX の小売業者を発見しました。
オンライン ストアを標的とした Magecart 攻撃
今年のブラック フライデーは終了しましたが、今後も Magecart 攻撃の脅威が減少することはありません。 特に、Covid 感染の症例数の増加と来たるクリスマスにより、今後数週間から数か月間、オンライン取引が確実に増加し、Magecart 攻撃の潜在的な標的の数も増加するでしょう。 特に CronRAT などの高度に専門化されたマルウェアに対する保護は、技術的なソリューションでは不十分なため困難です。 VirusTotal スキャン サービスでは、12 のアンチウイルス エンジンがトロイの木馬を処理できず、そのうち 58 が脅威として認識されませんでした。 したがって、システム全体の定期的なスキャンを実行して、どんなに重要ではないように見えても、異常がないかどうかを確認する必要があります。
詳細は 8com.de をご覧ください
8comについて 8com Cyber Defense Center は、8com の顧客のデジタル インフラストラクチャをサイバー攻撃から効果的に保護します。 これには、セキュリティ情報およびイベント管理 (SIEM)、脆弱性管理、専門的な侵入テストが含まれます。 さらに、共通規格による認証を含む、情報セキュリティ管理システム (ISMS) の開発と統合を提供します。 認識対策、セキュリティ トレーニング、およびインシデント対応管理により、オファーが完成します。