Forscher des E-Commerce-Sicherheitsspezialisten Sansec haben einen neuen Linux-Trojaner für den Fernzugriff (Remote Access Trojan, RAT) entdeckt, der eine ungewöhnliche Methode gefunden hat, sich auf den betroffenen Servern vor den meisten Sicherheitsanwendungen zu verstecken. CronRAT, wie die Sicherheitsforscher ihn tauften, tarnt sich als geplante Aufgabe – mit dem Ausführungsdatum 31. Februar. Weil dieses Datum natürlich ungültig ist und nicht existiert, gelingt es der Malware so, der Aufmerksamkeit der meisten Antiviren-Programme zu entgehen.
Die Sicherheitsforscher haben die Funktionsweise von CronRAT näher untersucht. Das Ergebnis zeigt, dass der Trojaner das Cron-Tool von Linux-Servern ausnutzt. Netzwerk-Administratoren können damit Aufgaben zu bestimmten Zeitpunkten planen, die dann automatisch ausgeführt werden. Dieses Werkzeug ist im Kalender-Subsystem von Linux angesiedelt. Da der Tag, an dem CronRAT ausgeführt werden soll, nicht existiert, ist das Ereignis im Kalender für den Admin auch nicht sichtbar. Da auch die meisten Sicherheitsprogramme das Cron-System nicht scannen, ist der Trojaner so gut wie unsichtbar. Auch bei Sansec musste zuerst die Erkennungs-Engine umgeschrieben werden, bevor der Trojaner erkannt werden konnte.
Einmal auf dem Server, kontaktiert die Malware einen Command-and-Control-Server unter Verwendung einer „exotischen Funktion des Linux-Kernels, die die TCP-Kommunikation über eine Datei ermöglicht“, erklären die Forscher von Sansec. Im zweiten Schritt sendet und empfängt der Trojaner mehrere Befehle und ruft eine bösartige dynamische Bibliothek ab. Am Ende dieses Austauschs können die Angreifer hinter CronRAT jeden Befehl auf dem kompromittierten System ausführen.
CronRAT ist nur eines von vielen Beispielen für die zunehmende Bedrohung durch sogenannte Magecart-Angriffe. Dabei werden Online-Shops manipuliert, um die Zahlungsdaten der Kunden zu stehlen. Auch CronRAT wurde bereits in mehreren Shops auf der ganzen Welt entdeckt – und er ist längst nicht der Einzige, der auf diesem Weg versucht, legitime Online-Shops zu kompromittieren. Bereits im vergangenen Jahr veröffentlichte das FBI eine Warnung vor Magecart-Angriffen, die nun vom amerikanischen National Cyber Security Center (NCSC) wiederholt wurde. Die dortigen Sicherheitsexperten hatten im Vorfeld des Black Friday 4.151 Händler gefunden, deren Server und Checkout-Seiten von Hackern in den vergangenen 18 Monaten kompromittiert worden waren.
Auch wenn der Black Friday für dieses Jahr nun vorbei ist, wird die Bedrohung durch Magecart-Angriffe in Zukunft nicht abnehmen. Insbesondere die wieder steigenden Fallzahlen der Covid-Infektionen und das anstehende Weihnachtsfest dürften dafür sorgen, dass der Online-Handel in den kommenden Wochen und Monaten weiter wächst – und mit ihm die Zahl der potenziellen Ziele für Magecart-Angriffe. Der Schutz insbesondere vor hochspezialisierter Malware wie CronRAT ist schwierig, da technische Lösungen hier nicht ausreichen. Beim Scandienst VirusTotal konnten 12 Antiviren-Engines den Trojaner nicht verarbeiten und 58 von ihnen erkannten ihn nicht als Bedrohung. Daher sollten regelmäßig Scans des gesamten Systems nach Unregelmäßigkeiten, und mögen sie scheinbar noch so unbedeutend sein, durchgeführt werden.
Die Sicherheitsforscher haben die Funktionsweise von CronRAT näher untersucht. Das Ergebnis zeigt, dass der Trojaner das Cron-Tool von Linux-Servern ausnutzt. Netzwerk-Administratoren können damit Aufgaben zu bestimmten Zeitpunkten planen, die dann automatisch ausgeführt werden. Dieses Werkzeug ist im Kalender-Subsystem von Linux angesiedelt. Da der Tag, an dem CronRAT ausgeführt werden soll, nicht existiert, ist das Ereignis im Kalender für den Admin auch nicht sichtbar. Da auch die meisten Sicherheitsprogramme das Cron-System nicht scannen, ist der Trojaner so gut wie unsichtbar. Auch bei Sansec musste zuerst die Erkennungs-Engine umgeschrieben werden, bevor der Trojaner erkannt werden konnte.
Einmal auf dem Server, kontaktiert die Malware einen Command-and-Control-Server unter Verwendung einer „exotischen Funktion des Linux-Kernels, die die TCP-Kommunikation über eine Datei ermöglicht“, erklären die Forscher von Sansec. Im zweiten Schritt sendet und empfängt der Trojaner mehrere Befehle und ruft eine bösartige dynamische Bibliothek ab. Am Ende dieses Austauschs können die Angreifer hinter CronRAT jeden Befehl auf dem kompromittierten System ausführen.
CronRAT ist nur eines von vielen Beispielen für die zunehmende Bedrohung durch sogenannte Magecart-Angriffe. Dabei werden Online-Shops manipuliert, um die Zahlungsdaten der Kunden zu stehlen. Auch CronRAT wurde bereits in mehreren Shops auf der ganzen Welt entdeckt – und er ist längst nicht der Einzige, der auf diesem Weg versucht, legitime Online-Shops zu kompromittieren. Bereits im vergangenen Jahr veröffentlichte das FBI eine Warnung vor Magecart-Angriffen, die nun vom amerikanischen National Cyber Security Center (NCSC) wiederholt wurde. Die dortigen Sicherheitsexperten hatten im Vorfeld des Black Friday 4.151 Händler gefunden, deren Server und Checkout-Seiten von Hackern in den vergangenen 18 Monaten kompromittiert worden waren.
Auch wenn der Black Friday für dieses Jahr nun vorbei ist, wird die Bedrohung durch Magecart-Angriffe in Zukunft nicht abnehmen. Insbesondere die wieder steigenden Fallzahlen der Covid-Infektionen und das anstehende Weihnachtsfest dürften dafür sorgen, dass der Online-Handel in den kommenden Wochen und Monaten weiter wächst – und mit ihm die Zahl der potenziellen Ziele für Magecart-Angriffe. Der Schutz insbesondere vor hochspezialisierter Malware wie CronRAT ist schwierig, da technische Lösungen hier nicht ausreichen. Beim Scandienst VirusTotal konnten 12 Antiviren-Engines den Trojaner nicht verarbeiten und 58 von ihnen erkannten ihn nicht als Bedrohung. Daher sollten regelmäßig Scans des gesamten Systems nach Unregelmäßigkeiten, und mögen sie scheinbar noch so unbedeutend sein, durchgeführt werden.
