Linux用の新しいリモートアクセストロイの木馬(RAT)が発見されました。
Sansec社は、見たこともないステルス技術を詰め込んだ高度な脅威を発見しました。このマルウェアは「CronRAT」と呼ばれ、2月31日にLinuxのカレンダーシステムに潜伏します。
「CronRAT」と名付けられたこのマルウェアは、現在ウェブストアをターゲットにしており、Linuxサーバーにオンライン決済用のスキマーを配置することで、クレジットカードのデータを盗むことができるものとなっています。
CronRATは、オンラインストアを対象としたマルウェアとしては、巧妙かつ洗練されていることが特徴で、多くのアンチウイルスで検出されていません。
ペイロードの巧妙な隠し場所
CronRATは、Linuxのタスクスケジューリングシステムであるcronを悪用して、2月31日などの存在しない日に実行されるタスクをスケジューリングします。
Linuxのクーロンシステムは、カレンダーに存在しない日であっても、有効なフォーマットであれば日付の指定を受け付けますが、これはスケジュールされたタスクが実行されないことを意味します。
これがCronRATのステルス性を実現するための仕組みです。
オランダのサイバーセキュリティ企業Sansec社が発表したレポートでは、スケジュールされたタスクの名前の中に「洗練されたBashプログラム」を隠していると説明されています。
“CronRAT “は、無効な日付指定でいくつかのタスクをcrontabに追加します。
これらの行は、構文的には有効ですが、実行するとランタイムエラーが発生します。しかし、これらのタスクは2月31日に実行されるように設定されているため、このようなことは起こりません
ペイロードは、何重にも圧縮され、Base64エンコーディングによって難読化されています。このコードには、自爆用コマンド、タイミング変調、リモートサーバーとの通信を可能にするカスタムプロトコルなどが含まれています。
研究者は、このマルウェアが、”ファイルを介してTCP通信を可能にするLinuxカーネルのエキゾチックな機能 “を使用して、コマンド&コントロール(C2)サーバー(47.115.46.167)に通信していると指摘しています。
さらに、この接続は、Dropbear SSHサービスの偽のバナーを使用してポート443経由でTCP上で行われており、このこともマルウェアがレーダーに探知されないようにするのに役立っています。
C2サーバーに接触した後、いくつかのコマンドを送受信し、悪意のあるダイナミックライブラリを取得します。これらのやり取りの最後に、CronRATの背後にいる攻撃者は、侵害されたシステム上で任意のコマンドを実行することができます。
CronRATは、世界中の複数のWebストアで発見されており、ペイメントカードのデータを盗むスクリプトをサーバーに注入するために使用されていました(いわゆるMagecart攻撃)。
Sansec社は、この新しいマルウェアについて、その機能から「Linuxのeコマースサーバーにとって深刻な脅威」と表現しています。
- ファイルレス実行
- タイミングモジュレーション
- アンチタンパリングチェックサム
- バイナリ、難読化されたプロトコルによる制御
- 別々のLinuxサブシステムでタンデムRATを起動
- コントロールサーバは「Dropbear SSH」サービスに偽装
- ペイロードを正規のCRONスケジュールタスク名に隠す
これらの特徴により、CronRATは事実上検出されません。VirusTotalのスキャンサービスでは、12のアンチウイルスエンジンがこの悪意のあるファイルを処理できず、そのうち58のアンチウイルスエンジンが脅威として検出しませんでした。
VirusTotalで検出されなかったCronRAT
Sansec社は、CronRATの斬新な実行手法は、同社の検出アルゴリズムであるeComscanも回避しており、研究者は新たな脅威をキャッチするためにeComscanを書き換えなければならなかったと指摘しています。
Comments