CronRat — новий троян Linux, який ховається в запланованих завданнях. Дата виконання 31 лютого, звичайно, недійсна, але багато програм безпеки не виявляють її.
Дослідники компанії Sansec, яка спеціалізується на безпеці електронної комерції, виявили новий троян Linux Remote Access (RAT), який знайшов незвичайний спосіб ховатися від більшості програм безпеки на уражених серверах. CronRAT, як його називають дослідники безпеки, маскується під заплановане завдання з датою виконання 31 лютого. Оскільки ця дата, звичайно, недійсна і не існує, шкідливому ПЗ вдається уникнути уваги більшості антивірусних програм.
CronRat – троян віддаленого доступу
Дослідники безпеки уважніше розглянули, як працює CronRAT. Результат показує, що троян використовує інструмент cron серверів Linux. Адміністратори мережі можуть використовувати його для планування завдань на певний час, які потім виконуються автоматично. Цей інструмент знаходиться в підсистемі календаря Linux. Оскільки день, коли CronRAT має бути виконано, не існує, подія також не відображається в календарі для адміністратора. Оскільки більшість програм безпеки також не сканують систему cron, троян так само добре, як невидимий. У Sansec теж потрібно було переписати механізм виявлення, перш ніж можна було виявити трояна.
CronRat - непомітно прихований у календарі
Опинившись на сервері, зловмисне програмне забезпечення зв’язується з командно-контрольним сервером, використовуючи «екзотичну функцію ядра Linux, яка дозволяє зв’язок TCP через файл», пояснюють дослідники Sansec. На другому кроці троян надсилає та отримує кілька команд і отримує шкідливу динамічну бібліотеку. Наприкінці цього обміну зловмисники, що стоять за CronRAT, можуть виконати будь-яку команду в скомпрометованій системі.
The
CronRAT є лише одним із багатьох прикладів зростання загрози так званих атак Magecart. Інтернет-магазинами маніпулюють, щоб викрасти платіжні дані клієнтів. CronRAT також було виявлено в кількох магазинах по всьому світу - і це далеко не єдиний, хто намагається таким чином скомпрометувати законні онлайн-магазини. Минулого року ФБР опублікувало попередження про атаки Magecart, яке тепер повторив Американський національний центр кібербезпеки (NCSC). Напередодні «Чорної п’ятниці» тамтешні експерти з безпеки виявили 4.151 роздрібного продавця, чиї сервери та сторінки оформлення замовлення були зламані хакерами за останні 18 місяців.
Атаки Magecart спрямовані на інтернет-магазини
Незважаючи на те, що Чорна п’ятниця цього року закінчилася, загроза атак Magecart не зменшиться в майбутньому. Зокрема, зростання кількості випадків зараження Covid і наближення Різдва мають гарантувати, що онлайн-торгівля продовжуватиме зростати в найближчі тижні та місяці, а разом з нею й кількість потенційних цілей для атак Magecart. Захист від вузькоспеціалізованих зловмисних програм, зокрема CronRAT, складний, оскільки тут недостатньо технічних рішень. На службі сканування VirusTotal 12 антивірусних движків не змогли обробити троян, а 58 з них не розпізнали його як загрозу. Тому необхідно проводити регулярне сканування всієї системи на виявлення порушень, якими б незначними вони не здавалися.
Більше на 8com.de
Про 8com Центр кіберзахисту 8com ефективно захищає цифрову інфраструктуру клієнтів 8com від кібератак. Він включає управління інформацією про безпеку та подіями (SIEM), керування вразливістю та професійні тести на проникнення. Крім того, він пропонує розробку та інтеграцію системи управління інформаційною безпекою (ISMS), включаючи сертифікацію відповідно до загальних стандартів. Заходи з підвищення обізнаності, навчання безпеки та управління реагуванням на інциденти завершують пропозицію.