Ερευνητές ασφαλείας ανακάλυψαν ένα νέο trojan απομακρυσμένης πρόσβασης (RAT) για συστήματα Linux, που διατηρεί ένα σχεδόν αόρατο προφίλ κρύβοντας τις εργασίες που έχουν προγραμματιστεί για εκτέλεση σε μια ανύπαρκτη μέρα, την 31η Φεβρουαρίου.
Δείτε επίσης: Οι χάκερ αναπτύσσουν Linux malware σε e-commerce servers
Με την ονομασία CronRAT, το κακόβουλο λογισμικό στοχεύει επί του παρόντος καταστήματα ιστού και επιτρέπει στους εισβολείς να κλέψουν δεδομένα πιστωτικών καρτών, αναπτύσσοντας διαδικτυακά skimmers πληρωμής σε διακομιστές Linux.
Το CronRAT, που είναι ιδιαίτερα εφευρετικό και πολύπλοκο, δεν εντοπίζεται από πολλές μηχανές προστασίας από ιούς.
Καταχράται το σύστημα προγραμματισμού εργασιών Linux, το cron, επιτρέποντας έτσι την εκτέλεση εργασιών προγραμματισμού σε ανύπαρκτες ημέρες του ημερολογίου, όπως η 31η Φεβρουαρίου.
Το σύστημα cron Linux δέχεται τις προδιαγραφές ημερομηνίας εφόσον έχουν έγκυρη μορφή, ακόμα κι αν η ημέρα δεν υπάρχει στο ημερολόγιο. Αυτό σημαίνει ότι η προγραμματισμένη εργασία δεν θα εκτελεστεί.
Σε αυτό βασίζεται το CronRAT για να πετύχει το στόχο του. Σύμφωνα με μία αναφορά της ολλανδικής εταιρείας κυβερνοασφάλειας Sansec, το Linux trojan κρύβει ένα «σύνθετο πρόγραμμα Bash» στα ονόματα των προγραμματισμένων εργασιών.
«Το CronRAT προσθέτει έναν αριθμό εργασιών στο crontab με μια περίεργη προδιαγραφή ημερομηνίας: 52 23 31 2 3. Αυτές οι γραμμές είναι συντακτικά έγκυρες, αλλά θα δημιουργήσουν ένα σφάλμα χρόνου εκτέλεσης κατά την εκτέλεση. Ωστόσο, αυτό δεν θα συμβεί ποτέ καθώς είναι προγραμματισμένο να εκτελεστούν στις 31 Φεβρουαρίου», εξηγούν οι ερευνητές της Sansec.
Δείτε ακόμα: Το κακόβουλο λογισμικό Android BrazKing επιστρέφει ως banking trojan
Ο κώδικας περιλαμβάνει εντολές για αυτοκαταστροφή, διαμόρφωση χρονισμού και ένα προσαρμοσμένο πρωτόκολλο που επιτρέπει την επικοινωνία με έναν απομακρυσμένο διακομιστή.
Οι ερευνητές σημειώνουν ότι το trojan έρχεται σε επαφή με έναν διακομιστή εντολών και ελέγχου (C2) (47.115.46.167) χρησιμοποιώντας ένα «χαρακτηριστικό του πυρήνα Linux που επιτρέπει την επικοινωνία TCP μέσω ενός αρχείου».
Επιπλέον, η σύνδεση γίνεται μέσω TCP μέσω της θύρας 443, χρησιμοποιώντας ένα ψεύτικο banner για την υπηρεσία Dropbear SSH, το οποίο βοηθά επίσης το κακόβουλο λογισμικό να παραμείνει κρυφό.
Αφού επικοινωνήσετε με τον διακομιστή C2, η μεταμφίεση αποκαλύπτεται, στέλνει και λαμβάνει πολλές εντολές και λαμβάνει μια κακόβουλη βιβλιοθήκη. Στο τέλος αυτών των ανταλλαγών, οι εισβολείς πίσω από το CronRAT μπορούν να εκτελέσουν οποιαδήποτε εντολή στο παραβιασμένο σύστημα.
Δείτε επίσης: SharkBot: Το νέο Android banking trojan που στοχεύει τράπεζες στην Ευρώπη
Η Sansec περιγράφει το νέο κακόβουλο λογισμικό ως «μια σοβαρή απειλή για τους διακομιστές ηλεκτρονικού εμπορίου Linux», λόγω των δυνατοτήτων του:
- Εκτέλεση χωρίς αρχείο
- Διαμόρφωση χρονισμού
- Αθροίσματα ελέγχου κατά της παραβίασης
- Ελέγχεται μέσω δυαδικού, ασαφούς πρωτοκόλλου
- Εκκινεί το tandem RAT σε ξεχωριστό υποσύστημα Linux
- Διακομιστής ελέγχου μεταμφιεσμένος ως υπηρεσία “Dropbear SSH”.
- Το ωφέλιμο φορτίο είναι κρυμμένο σε νόμιμα ονόματα προγραμματισμένων εργασιών CRON
Όλα αυτά τα χαρακτηριστικά καθιστούν το CronRAT ουσιαστικά μη ανιχνεύσιμο. Η Sansec σημειώνει ότι η νέα τεχνική εκτέλεσης του CronRAT παρέκαμψε επίσης τον αλγόριθμο ανίχνευσης eComscan και οι ερευνητές έπρεπε να τον ξαναγράψουν για να ανακαλύψουν τη νέα απειλή.
 για συστήματα Linux, που διατηρεί ένα σχεδόν αόρατο προφίλ){kind=link}