Si chiama CronRAT il nuovo trojan di accesso remoto (RAT) per Linux che si nasconde nelle attività programmate del sistema operativo per l’esecuzione il 31 febbraio, una data inesistente. Il rapporto della società di sicurezza informatica olandese Sansec è la prima fonte a parlarne il 24 novembre scorso.
CronRAT è un malware che attualmente prende di mira i negozi online e consente agli aggressori di rubare informazioni sulla carta di credito installando skimmer di pagamento online su server Linux.
CronRAT è stato riconosciuto su diversi server MageCart in tutto il mondo, caratterizzato da inventiva e astuzia ed è ancora sconosciuto da quasi tutti i motori antivirus.
Indice degli argomenti
Tutti i dettagli di CronRAT
CronRAT utilizza il sistema di pianificazione delle attività di Linux cron, che non vieta di pianificare le attività in giorni che non esistono nel calendario, come il 31 febbraio.
Infatti, anche se è un giorno inesistente nel calendario, il sistema cron di Linux rispetta i requisiti di data purché abbiano un formato corretto, il che implica che il lavoro pianificato non verrà eseguito, ma allo stesso tempo non farà fallire l’esecuzione del servizio cron, finché il formato è espresso in maniera corretta.
Nei casi osservati, i payload sono infatti riportati nel file crontab con espressioni di data del tipo: 52 23 31 2 3 (di fatto sintatticamente corretti, ma logicamente impossibili da far eseguire).
CronRAT fa affidamento su questo per mantenere il proprio anonimato.
Secondo la ricerca pubblicata da Sansec, CronRAT nasconde un “sofisticato programma bash” nei titoli delle attività programmate sul file crontab. I payload (nascosti appunto nei nomi delle attività programmate in giorni inesistenti) sono offuscati con più livelli di compressione e codifica Base64. Inoltre, Il codice, durante lo studio, è stato ripulito dai diversi livelli di compressione e sembra contenere comandi per la modulazione temporale, l’autodistruzione e un protocollo personalizzato per la comunicazione.
I ricercatori hanno scoperto che il malware comunica con un server di comando e controllo (C2) (47[.]115[.]46[.]167) utilizzando una caratteristica insolita del kernel Linux che consente la connessione TCP tramite un file. Inoltre, il malware utilizza un banner fasullo per il servizio Dropbear SSH per connettersi tramite TCP attraverso la porta 443, il che lo aiuta a non essere rilevato.
Dopo l’accesso al server di comando e controllo, invia e riceve vari comandi e ottiene una libreria dinamica dannosa. Gli aggressori di CronRAT possono quindi eseguire qualsiasi comando sulla macchina compromessa al termine di questi scambi. Come riportato nell’analisi di Sansec, il rivoluzionario approccio di esecuzione di CronRAT ha anche aggirato l’algoritmo di rilevamento dei ricercatori, eComscan, e hanno dovuto modificarlo per identificare la nuova minaccia.
Minaccia ancora sconosciuta: come mitigare i rischi
Trattandosi di una minaccia totalmente nuova e prima d’ora sconosciuta, i ricercatori stessi riportano che CronRAT appartiene a un argomento completamente da esplorare, per il quale non sono chiare molte caratteristiche e che necessità sicuramente di aggiornamenti dal punto di vista esperienziale.
Per esempio non è chiaro come avvenga l’infezione. È in fase di studio capire se si possano sfruttare vulnerabilità esistenti di MageCart, se è necessario lo sfruttamento di azioni da parte dell’utente finale (magari inconsapevole e coinvolto con tecniche di social engineering) oppure ancora se è necessario invece ottenere l’accesso fisico al server Linux.
È sicuramente un interessantissimo spunto di riflessione per capire che le minacce sono in costante affinamento delle loro tecniche, sia di attacco ma anche, come in questo caso, di inosservabilità (gran parte dei sistemi di sicurezza perimetrale ignora completamente la scansione del servizio cron).
È ad ogni modo una ricerca in divenire, che avrà degli aggiornamenti nel breve periodo (il tempo tecnico di studiare a fondo i server già compromessi), e che aprirà nuovi scenari nella sicurezza degli applicativi e-commerce, o comunque di quei sistemi che trattano codici di carte di credito e dati di pagamento.