NginRAT

Cyberkriminelle setzen bei Angriffen auf E-Commerce-Server eine neue Bedrohung durch einen Remote-Access-Trojaner (RAT) namens NginRAT ein. Ziel der bedrohlichen Operation ist es, Zahlungskarteninformationen von kompromittierten Online-Shops zu sammeln. Bisher wurden Opfer von NginRAT in Nordamerika, Deutschland und Frankreich identifiziert.

Die von NginRAT eingesetzten Umgehungstechniken machen es extrem schwer, von Sicherheitslösungen erwischt zu werden. Die Bedrohung entführt die Nginx-Anwendung des Hosts, indem sie die Kernfunktionalität des Linux-Hostsystems modifiziert. Genauer gesagt, wenn der legitime Nginx-Webserver eine Funktion wie dlopen ausführt, fängt NginRAT diese ab und injiziert sich selbst. Dadurch ist die RAT nicht mehr von einem legitimen Verfahren zu unterscheiden.

Nach Angaben des Sicherheitsunternehmens, das die Bedrohung durch NginRAT analysiert hat, gibt es eine Möglichkeit, die kompromittierten Prozesse anzuzeigen. Die Bedrohung verwendet LD_L1BRARY_PATH (mit einem Tippfehler), daher empfehlen die Forscher, den folgenden Befehl auszuführen:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v selbst/

/proc/17199/environ

/proc/25074/d nviron

Sie entdeckten auch, dass NginRAT von einer anderen RAT-Malware namens CronRAT an die Zielserver geliefert wurde. Die beiden Bedrohungen erfüllen die gleiche Rolle – sie ermöglichen den Hintertür-Zugriff auf den infizierten Computer, basieren jedoch auf unterschiedlichen Methoden. CronRAT verbirgt beispielsweise seinen beschädigten Code in gültigen geplanten Aufgaben, die niemals ausgeführt werden, da sie an nicht vorhandenen Daten wie dem 31. Februar ausgeführt werden.

Da festgestellt wurde, dass beide Bedrohungen gleichzeitig vorhanden sind, sollten Administratoren, wenn NginRAT auf einem Server gefunden wird, auch die Cron-Aufgaben auf Anzeichen für einen beschädigten Code überprüfen, der dort von CronRAT versteckt werden könnte.