Linux CronRAT という強敵:2月31日に設定されたタスクで Magecart 攻撃を実行

New Linux CronRAT hides in cron jobs to evade detection in Magecart attacks

2021/11/25 SecurityAffairs — Sansec のセキュリティ研究者たちは、2月31日の Linux Task Scheduling System (cron) に潜む、CronRAT という名で追跡される、新たな Linux リモート・アクセス・トロイの木馬 (RAT) を発見した。この CronRAT という RATは、タスク名にマルウェアを潜ませた後に、圧縮と base64 デコーディングを何度も繰り返し、悪意のコードを構築していく。

CronRAT は、オンラインストア Web ストアを標的とする、Magecart 攻撃に採用されており、攻撃者は Linux サーバー上にオンライン決済用スキマーを配置することで、クレジット・カードのデータを盗むことができる。

研究者たちは、CronRAT マルウェアは、多くのアンチウイルス・エンジンでは検出されないと説明している。つまり、多くのセキュリティ製品が Linux の Cron システムをスキャンしないという状況が悪用されている。以下は、CronRAT が実装している機能の一覧である。

  • ファイル・レス実行
  • タイミング・モジュレーション
  • アンチ・タンパリング・チェックサム
  • バイナリ/難読化されたプロトコルによる制御
  • 別の Linux サブシステムでタンデム RAT を起動
  • コントロールサーバーは「Dropbear SSH」サービスに偽装
  • ペイロードを正規の Cron スケジュール・タスク名に隠す

    Sansec 「CronRAT の最大の特徴は、Linux サーバーのカレンダー・サブシステム Cron の中の、存在しない日に隠れていることだ。こうすることで、サーバー管理者の注意を逸らすことができる。また、多くのセキュリティ製品は、Linux の Cron システムをスキャンしていない」と述べている。
    https://sansec.io/research/cronrat

    Sansec が調査した攻撃では、CronRAT はサーバー側のコードに決済用スキマー (別名:Magecart) を注入するために使用されていた。Sansec の Director of Threat Research である Willem de Groot は、「ブラウザーと比べてバックエンドの保護は脆弱なため、Eスキミング攻撃はブラウザーからサーバーへと移行している」と説明している。

    CronRAT は crontab に対して、「52 23 31 2 3」という日付指定のタスクを多数追加する。このタスクは、構文的には有効であるが、実行するとランタイム・エラーが発生する仕様となっている。しかし、タスクが存在しない日に、実行されるようにスケジュールされているため、実行時エラーは発生しないと、研究者たちは指摘している。

    そして、このタスクが実行されると、マルウェアはファイルを介した TCP 通信を可能にする、Linux カーネルの機能を利用して Command and Control (C2) サーバー (47.115.46.167) と通信を始める。このマルウェアは、Dropbear SSH サービスの偽バナーを使用して、ポート 443 を介して TCP でサーバーに接続する。Sansec は、国内最大手の販売店を含む複数のオンラインストアで、CronRAT のインスタンスを発見した。専門家たちは、この革新的な脅威を検出するために、eComscan アルゴリズムの一部を書き換える必要があったという。

Cron とは、「多くの UNIX 系 OS で標準的に利用されるデーモンの一種で、利用者の設定したスケジュールに従って、指定されたプログラムを定期的に起動してくれるもの」と、e-Words で説明されています。そして、CronRAT が追加するタスクは、2月31日というタスクが存在しない日に、実行されるようにスケジュールされているため、実行時エラーは発生しないようです。気に留めておくべきものが、また、ひとつ増えますね。

%d bloggers like this: