Linuxon trükközik a CronRAT trójai

​Egy olyan trójai program jelent meg, amely Linux alapú webszerverek megfertőzésével elsősorban webáruházakat veszélyeztet.
 

A Sansec biztonsági kutatói egy Linux szerver ellenőrzésekor egy igencsak érdekes jelenségre lettek figyelmesek. Azt vették észre, hogy a kiszolgálón lévő webáruház kódját valami a háttérben manipulálja annak érdekben, hogy fizetési adatokat kaparintson meg. A szervert alapos vizsgálatnak vetették alá. A mélyszintű elemzésekre szükség is volt, ugyanis mint kiderült, egy olyan kártékony program okozta a problémákat, amely egy igencsak szokatlan helyen rejtőzött.
 
A CronRAT nevű trójai készítői a Linux cron feladatütemezőjének lehetőségeit fordították a saját javukra. Egészen pontosan a cron azon sajátosságát használták ki, hogy az a feladatok ütemezésekor olyan dátumot is elfogad, amely nem szerepel a naptárban. A CronRAT esetében ez azt jelentette, hogy a fertőzött rendszer cron konfigurációs beállításai közé egy "52 23 31 2 3" kezdetű sor került. Vagyis a vírusírók egy olyan sort szúrtak be, amely alapján az adott feladatnak február 31-én kellett volna elindulnia. Ez a megoldás szintaktikailag helyes, de a benne megadott "feladat" már hibát eredményezett volna. A hiba azonban a február 31-ei dátum miatt soha nem lépett fel.
 
A problémás cron feladatnak az a célja, hogy tárolja a CronRAT indítókódját. Ebből kiolvasható az a Base64 kódolással és tömörítéssel ellátott payload, ami a támadások következő lépcsőjéül szolgál.
 
A támadók a szerzeményükkel azt próbálják elérni, hogy a kiszemelt szervereken futtatott webáruházak fizetési oldalait manipulálják, és a vásárlók által megadott fizetési (például bankkártya) adatokat lementsék, majd kiszivárogtassák. Vagyis úgynevezett Magecart típusú támadásokat indíthatnak. A kártékony program révén a megszerzett bizalmas adatokat az elkövetők a 443-as TCP-porton keresztül tölthetik fel a saját vezérlőszerverükre, amelyet jelenleg az Alibaba szolgáltatásain keresztül hosztolnak.
 
A CronRAT rejtőzködési képességeit jól mutatja, hogy a felfedezésekor a VirusTotalon működő egyik víruskereső motor sem jelezte azt kártékonynak. Arról egyelőre nincsenek információk, hogy a károkozó hány szervert fertőzhetett meg. Az viszont biztos, hogy a szerzemény célzott támadásokban jut szerephez, vagyis jelenleg nincs szó tömeges terjedésről.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség