研究人员发现了一种新的Linux远程访问木马(RAT),它采用了一种前所未有的隐身技术,该技术涉及通过将其安排在2月31日(一个不存在的日历日)执行来掩盖其恶意行为。
Sansec Threat Research表示,这种被称为CronRAT的狡猾恶意软件"使服务器端的Magecart数据盗窃成为可能,从而绕过了基于浏览器的安全解决方案"。这家荷兰网络安全公司表示,它在几家在线商店发现了RAT的样本,其中包括一家未具名的国家最大的商店。
CronRAT的突出特点是它能够利用Unix的cron作业调度程序实用程序,使用编程为在2月31日执行的任务名称来隐藏恶意有效负载。这不仅允许恶意软件逃避安全软件的检测,而且还使其能够启动一系列攻击命令,这些命令可能会使Linux电子商务服务器面临风险。
"CronRAT用一个奇怪的日期规范向crontab添加了许多任务:52 23 31 2 3,"研究人员解释说。这些行在语法上有效,但在执行时会生成运行时错误。但是,这永远不会发生,因为它们计划在2月31日运行。
RAT是一种"复杂的Bash程序",它还使用许多级别的混淆来使分析变得困难,例如将代码放在编码和压缩屏障后面,以及实现具有随机校验和的自定义二进制协议以跳过防火墙和数据包检查器,然后再与远程控制服务器建立通信以等待进一步的指令。
研究人员指出,有了这种后门访问,与CronRAT相关的攻击者可以在受感染的系统上运行任何代码。
"数字浏览正在从浏览器转移到服务器,这是另一个例子,"Sansec的威胁研究总监Willem de Groot说。"大多数在线商店只实施了基于浏览器的防御,犯罪分子利用了未受保护的后端。安全专业人员应该真正考虑完整的攻击面。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/124585.html