CronRAT

Une menace de malware sophistiquée qui utilise des techniques innovantes pour masquer ses actions néfastes a été identifiée par les chercheurs d'une société néerlandaise de cybersécurité. Nommée CronRAT, la menace est classée comme RAT - cheval de Troie d'accès à distance. Il cible les boutiques en ligne et fournit aux attaquants les moyens d'injecter des écumeurs de paiement en ligne sur les serveurs Linux compromis. En fin de compte, le but des pirates est d'obtenir des données de carte de crédit qui pourront ensuite être exploitées. Les nombreuses techniques d'évasion employées par la menace la rendent presque indétectable.

Détails techniques

La caractéristique remarquable de CronRAT est la façon dont il abuse du système de planification des tâches Linux (cron) pour cacher un programme Bash sophistiqué. Le malware injecte plusieurs tâches à crontab qui ont un format valide afin que le système les accepte. Ces tâches entraîneront une erreur d'exécution lors de leur exécution, mais cela ne se produira pas car elles sont planifiées pour s'exécuter à des dates inexistantes, telles que le 31 février. Le code corrompu de la menace est caché dans les noms de ces tâches planifiées.

Après avoir éliminé plusieurs niveaux d'obscurcissement, les chercheurs d'infosec ont pu découvrir des commandes d'autodestruction, des modifications de synchronisation et un protocole personnalisé pour la communication avec le serveur de commande et de contrôle des attaquants (C2, C&C). Le contact avec le serveur distant est réalisé via une fonction obscure du noyau Linux qui permet les communications TCP via un fichier. De plus, la connexion s'effectue via TCP via le port 443 se faisant passer pour un service Dropbear SSH. En fin de compte, les attaquants pourront exécuter des commandes arbitraires sur les systèmes violés.

Conclusion

CronRAT est considéré comme une menace grave pour les serveurs de commerce électronique Linux en raison de ses capacités menaçantes. La menace utilise des techniques de détection et d'évasion, telles que l'exécution sans fichier, la modulation temporelle, l'utilisation d'un protocole binaire obscurci, l'utilisation de noms de tâches planifiées CRON légitimes pour masquer les charges utiles, etc. En pratique, il est pratiquement indétectable et des mesures spéciales peuvent devoir être mises en œuvre pour protéger leurs serveurs Linux ciblés.