CronRAT: Mã độc Linux mới được lập lịch chạy vào ngày 31/2

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
CronRAT: Mã độc Linux mới được lập lịch chạy vào ngày 31/2
upload_2021-11-27_0-5-24.png

Các nhà nghiên cứu vừa phát hiện loại RAT (remote access trojan) mới trên Linux sử dụng kỹ thuật chưa từng thấy trước đây nhằm che giấu, tránh bị phát hiện hành vi độc hại của chúng bằng cách lên lịch thực thi vào ngày 31 tháng 2, một ngày không tồn tại theo lịch.

Được đặt tên là CronRAT, loại mã độc mới này "cho phép đánh cắp dữ liệu Magecart phía máy chủ, vượt qua các giải pháp an ninh dựa trên trình duyệt", Sansec Threat Research cho biết. Công ty an ninh mạng của Hà Lan cho biết họ đã tìm thấy các mẫu RAT trên một số cửa hàng trực tuyến.

Tính năng nổi bật của CronRAT là khả năng tận dụng chức năng cron job trên Unix để ẩn các payload độc hại bằng cách sử dụng các task được lập trình để thực thi vào ngày 31 tháng 2. Điều này không chỉ cho phép mã độc né tránh sự phát hiện từ phần mềm an ninh mà còn cho phép nó thực thi một loạt lệnh tấn công có thể khiến các máy chủ thương mại điện tử sử dụng Linux gặp rủi ro.

Các nhà nghiên cứu giải thích: “CronRAT thêm một số task vào crontab với thông số ngày khá đặc biệt là: 52 23 31 2 3", các nhà nghiên cứu giải thích. "Những dòng này hợp lệ về mặt cú pháp, nhưng sẽ tạo ra lỗi thời gian khi được thực thi. Tuy nhiên, điều này sẽ không bao giờ xảy ra vì chúng được lên lịch chạy vào ngày 31 tháng 2".

upload_2021-11-27_0-25-23.png

CronRAT - một "chương trình Bash phức tạp" - được sử dụng nhiều cấp độ làm rối để làm cho việc phân tích trở nên khó khăn, chẳng hạn như sử dụng các kỹ thuật mã hóa và nén, triển khai giao thức tùy chỉnh với checksum ngẫu nhiên để vượt qua tường lửa và packet inspector, trước khi thiết lập giao tiếp với máy chủ điều khiển từ xa để nhận lệnh.

Sử dụng quyền truy cập backdoor này, những kẻ tấn công sử dụng CronRAT có thể thực thi mã độc hại trên hệ thống bị xâm nhập, các nhà nghiên cứu lưu ý.

“Digital skimming đang chuyển từ trình duyệt sang máy chủ và đây là một ví dụ khác”, Giám đốc Sansec, Willem de Groot, cho biết. "Hầu hết các cửa hàng trực tuyến mới chỉ triển khai các biện pháp phòng thủ dựa trên trình duyệt và và tội phạm mạng lợi dụng back-end không được bảo vệ để khai thác. Các chuyên gia nên quan tâm toàn diện hơn để tăng cường an ninh".

Nguồn: The Hacker News
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: tgnd
Thẻ
cronrat linux rat
Bên trên