CronRAT

Die Forscher eines niederländischen Cybersicherheitsunternehmens haben eine ausgeklügelte Malware-Bedrohung identifiziert, die innovative Techniken einsetzt, um ihre schändlichen Handlungen zu maskieren. Die Bedrohung mit dem Namen CronRAT wird als RAT - Remote Access Trojaner - eingestuft. Es zielt auf Webshops ab und bietet den Angreifern die Möglichkeit, Online-Zahlungsskimmer auf die kompromittierten Linux-Server einzuschleusen. Letztlich ist es das Ziel der Hacker, an Kreditkartendaten zu gelangen, die später ausgenutzt werden können. Die zahlreichen Ausweichtechniken, die von der Bedrohung eingesetzt werden, machen sie fast nicht nachweisbar.

Technische Details

Das herausragende Merkmal von CronRAT ist die Art und Weise, wie es das Linux-Task-Scheduling-System (Cron) missbraucht, um ein ausgeklügeltes Bash-Programm zu verbergen. Die Malware injiziert mehrere Aufgaben in crontab, die ein gültiges Format haben, damit das System sie akzeptiert. Diese Aufgaben führen bei der Ausführung zu einem Laufzeitfehler, aber das wird nicht passieren, da sie für die Ausführung an nicht vorhandenen Daten geplant sind, z. B. am 31. Februar. Der beschädigte Code der Bedrohung ist in den Namen dieser geplanten Aufgaben versteckt.

Nach dem Auflösen mehrerer Verschleierungsebenen konnten die infosec-Forscher Befehle zur Selbstzerstörung, Timing-Änderungen und ein speziell entwickeltes Protokoll für die Kommunikation mit dem Command-and-Control-Server (C2, C&C) der Angreifer aufdecken. Der Kontakt mit dem entfernten Server wird über eine obskure Funktion des Linux-Kernels hergestellt, die die TCP-Kommunikation über eine Datei ermöglicht. Darüber hinaus wird die Verbindung über TCP über Port 443 übertragen, der vorgibt, ein Dropbear-SSH-Dienst zu sein. Letztlich werden die Angreifer in der Lage sein, beliebige Befehle auf den angegriffenen Systemen auszuführen.

Abschluss

CronRAT gilt aufgrund seiner bedrohlichen Fähigkeiten als ernsthafte Bedrohung für Linux-eCommerce-Server. Die Bedrohung verfügt über Erkennungs-Umgehungstechniken wie dateilose Ausführung, Timing-Modulation, die Verwendung eines binären, verschleierten Protokolls, die Verwendung legitimer CRON-geplanter Aufgabennamen zum Verbergen von Nutzlasten und mehr. In der Praxis ist es praktisch nicht nachweisbar und es müssen möglicherweise spezielle Maßnahmen ergriffen werden, um die anvisierten Linux-Server zu schützen.