e-Ticaret sunucuları, Nginx sunucularında güvenlik çözümleri tarafından neredeyse görünmez hale getirilir şekilde gizlenen uzaktan erişim kötü amaçlı yazılımlarıyla hedeflenmektedir.
Tehdit, hedeflediği uygulamanın ve sağladığı uzaktan erişim yeteneklerinin bir kombinasyonu olan NginRAT adını aldı ve çevrimiçi mağazalardan ödeme kartı verilerini çalmak için sunucu tarafı saldırılarında kullanılıyor.
NginRAT, Kuzey Amerika ve Avrupa’da virüs bulaşmış e-ticaret sunucularında bulundu CronRAT, takvimin geçersiz bir gününde yürütülmesi planlanan görevlerdeki yükleri gizleyen bir uzaktan erişim truva atı (RAT).
NginRAT, ABD, Almanya ve Fransa’daki sunuculara virüs bulaştırdı ve burada nginx süreçlerine enjekte ederek meşru olanlardan ayırt edilemedi ve fark edilmeden kalmasına izin verdi.
RAT’lar sunucu tarafı kod değişikliğini etkinleştirir
Güvenlik şirketi Sansec’teki araştırmacılar, her ikisi de aynı işlevi yerine getirse de, yeni kötü amaçlı yazılımın CronRAT olarak teslim edildiğini açıklıyor: güvenliği ihlal edilen sisteme uzaktan erişim sağlamak.
Sansec tehdit araştırmaları direktörü Willem de Groot, BleepingComputer’a verdiği demeçte, gizliliklerini korumak için çok farklı teknikler kullanırken, iki RAT’ın uzaktan erişimi korumak için bir yedek görevi görerek aynı role sahip göründüğünü söyledi.
Bu kötü amaçlı yazılım türlerinin arkasında kim varsa, kullanıcılar tarafından gönderilen verileri kaydetmelerine izin veren sunucu tarafı kodunu değiştirmek için kullanıyor (POST istekleri).
Sansec, özel bir CronRAT oluşturduktan ve Çin’de bulunan komuta kontrol sunucusu (C2) ile borsaları gözlemledikten sonra NginRAT’ı incelemeyi başardı.
Araştırmacılar, C2’yi normal kötü amaçlı etkileşimin bir parçası olarak, NginRAT’ın “daha gelişmiş kötü amaçlı yazılım parçasını” gizleyerek, sahte bir paylaşılan kütüphane yükü göndermesi ve yürütmesi için kandırdı.
“NginRAT, tespit edilmemek için ev sahibi bir Nginx başvurusunu ele geçiriyor. Bunu yapmak için NginRAT, Linux ana bilgisayar sisteminin temel işlevselliğini değiştirir. Meşru Nginx web sunucusu bu işlevselliği kullandığında (örneğin dlopen), NginRAT kendini enjekte etmek için onu yakalar” – Sansec
Sürecin sonunda, Nginx işlemi uzaktan erişim kötü amaçlı yazılımını meşru bir işlemden ayırt etmeyi neredeyse imkansız hale getiren bir şekilde gömmektedir.
Sansec bugün yayınladığı teknik bir raporda, NginRAT’ın kötü amaçlı Linux sistem kütüphanesini “/dev/shm/php-shared” konumuna indiren özel “dwn” komutu aracılığıyla CronRAT’ın yardımıyla güvenliği ihlal edilmiş bir sisteme indiğini açıklıyor.
Kitaplık daha sonra Linux’ta genellikle sistem kitaplıklarını test etmek için kullanılan LD_PRELOAD hata ayıklama özelliği kullanılarak başlatılır.
Yürütmeyi maskeleme olasılığı yüksek olan tehdit aktörü, sonunda birden çok kez “yardım” seçeneğini de ekledi. Komutu yürütmek, NginRAT’ı ana bilgisayar Nginx uygulamasına ekler.
NginRAT normal bir Nginx işlemi olarak gizlendiği ve kodun yalnızca sunucunun belleğinde mevcut olduğu için, bunu algılamak zor olabilir.
Ancak, kötü amaçlı yazılım LD_PRELOAD ve LD_L1BRARY_PATH olmak üzere iki değişken kullanılarak başlatılır. Yöneticiler, aşağıdaki komutu çalıştırarak etkin kötü amaçlı işlemleri ortaya çıkarmak için “yazım hatasını” içeren ikincisini kullanabilir:
$ sudo grep -l LD_L1BRARY_PATH /proc/*/environ
/proc/17199/environ
/proc/25074/environSansec, NginRAT sunucuda bulunursa, yöneticilerin cron görevlerini de kontrol etmesi gerektiğini, çünkü kötü amaçlı yazılımın cronRAT tarafından eklenen orada da saklanmasının çok muhtemel olduğunu belirtiyor.