Güvenlik araştırmacıları, Linux için 31 Şubat’ta varolmayan bir günde yürütülmesi planlanan görevlerde saklanarak neredeyse görünmez bir profil tutan yeni bir uzaktan erişim truva atı (RAT) keşfettiler.
CronRAT olarak adlandırılan kötü amaçlı yazılım şu anda web mağazalarını hedef alıyor ve saldırganların Linux sunucularında çevrimiçi ödeme sıyırıcıları dağıtarak kredi kartı verilerini çalmalarını sağlıyor.
Çevrimiçi mağazalar için kötü amaçlı yazılım söz konusu olduğunda, hem yaratıcılık hem de gelişmişlik ile karakterize edilen CronRAT, birçok antivirüs motoru tarafından tespit edilmemiştir.
Yükler için akıllı saklanma yeri
CronRAT, zamanlama görevlerinin 31 Şubat gibi takvimin varolmayan günlerinde çalışmasına izin veren Linux görev zamanlama sistemi cron’u kötüye alır.
Linux cron sistemi, takvimde gün olmasa bile geçerli bir biçime sahip oldukları sürece tarih belirtimlerini kabul eder – bu da zamanlanan görevin yürütülmeyeceği anlamına gelir.
CronRAT’ın gizliliğini elde etmek için güvendiği şey budur. Hollandalı siber güvenlik şirketi Sansec’in bugün yayınladığı bir rapor, planlanan görevlerin adlarında “sofistike bir Bash programını” gizlediğini açıklıyor.
“CronRAT, crontab’a meraklı bir tarih belirtimiyle bir dizi görev ekliyor: 52 23 31 2 3. Bu satırlar sözdizimsel olarak geçerlidir, ancak yürütüldüğünde bir çalışma süresi hatası oluşturur. Ancak, 31 Şubat’ta yayınlanması planlandığı gibi bu asla gerçekleşmeyecek.” Sansec Araştırmacılar açıklıyor.
Yükler, birden fazla sıkıştırma katmanı ve Base64 kodlaması ile karartılır. Temizle kod kendi kendini yok etme, zamanlama modülasyonu ve uzak bir sunucuyla iletişime izin veren özel bir protokol için komutlar içerir.
Araştırmacılar, kötü amaçlı yazılımın “Linux çekirdeğinin bir dosya aracılığıyla TCP iletişimini sağlayan egzotik bir özelliğini” kullanarak bir komut ve kontrol (C2) sunucusuyla (47.115.46.167) iletişime geçenlere dikkat çekiyor.
Ayrıca, bağlantı TCP üzerinden 443 numaralı bağlantı noktası üzerinden Dropbear SSH hizmeti için sahte bir banner kullanılarak yapılır ve bu da kötü amaçlı yazılımın radar altında kalmasına yardımcı olur.
C2 sunucusuyla bağlantı kurduktan sonra, kılık değiştirme düşer, birkaç komut gönderir ve alır ve kötü amaçlı bir dinamik kitaplık alır. Bu değişimlerin sonunda, CronRAT’ın arkasındaki saldırganlar güvenliği ihlal edilen sistemde herhangi bir komutu çalıştırabilir.
CronRAT, ödeme kartı verilerini çalan sunucu komut dosyalarına enjekte etmek için kullanıldığı dünya çapında birden fazla mağazada bulunmuştur – sözde Magecart saldırıları.
Sansec, yeni kötü amaçlı yazılımı yetenekleri nedeniyle “Linux e-ticaret sunucuları için ciddi bir tehdit” olarak tanımlıyor:
- Dosyasız yürütme
- Zamanlama modülasyonu
- Kurcalamayı önleme sağlama toplamları
- İkili, karartılmış protokol ile kontrol edilir
- Tandem RAT’ı ayrı Linux alt sisteminde başlatır
- “Dropbear SSH” hizmeti kılığında kontrol sunucusu
- Yasal CRON zamanlanmış görev adlarında gizli yük
Tüm bu özellikler CronRAT’ı neredeyse tespit edilemez hale getirir. VirusTotal tarama hizmetinde, 12 virüsten koruma motoru kötü amaçlı dosyayı işleyemedi ve bunlardan 58’i tehdit olarak algılamadı.
Sansec, CronRAT’ın yeni yürütme tekniğinin algılama algoritmasını da atladığını belirtiyor. eKomuzanve araştırmacılar yeni tehdidi yakalamak için yeniden yazmak zorunda kaldılar.