麦青儿 - 2021-12-10 15:59:00
近日,瑞星安全研究院发现一个专门针对Linux服务器又非常特别的病毒——“CronRAT”,该病毒最大特点是隐藏于Linux服务器系统日历计划任务Cron中,因此轻易不会被发现,并且躲避了许多安全产品的扫描。瑞星安全专家表示,CronRAT病毒具有执行任意程序的危害,因此广大用户应提高警惕。
瑞星安全专家在借鉴了Sansec团队的分析后表示,Cron是Linux服务器系统的日历计划任务,在Linux系统中只要是有效格式,即使日历中不存在日期(例如:2月31日),也是可以被设定的,而攻击者就是利用这一特点,将CronRAT病毒藏匿于不存在的日期中,以躲避服务器管理员的注意,同时逃避安全产品的扫描。
通过分析可以看出,CronRAT病毒读取Crontab任务,设置了特定的日期“52 23 31 2 3”,通过base64以及混淆将恶意软件代码隐藏其中,虽然这个特定的日期在语法上有效,但在执行时会生成运行时错误,因此永远不会被执行,因为该日期实际对应的时间是2月31日。
瑞星安全专家表示,虽然目前国内尚未发现该病毒,但由于使用Linux操作系统的企业不在少数,因此CronRAT病毒需要被格外关注。同时瑞星安全专家也提出以下几点防范建议,供广大用户参考:
瑞星安全专家在借鉴了Sansec团队的分析后表示,Cron是Linux服务器系统的日历计划任务,在Linux系统中只要是有效格式,即使日历中不存在日期(例如:2月31日),也是可以被设定的,而攻击者就是利用这一特点,将CronRAT病毒藏匿于不存在的日期中,以躲避服务器管理员的注意,同时逃避安全产品的扫描。
通过分析可以看出,CronRAT病毒读取Crontab任务,设置了特定的日期“52 23 31 2 3”,通过base64以及混淆将恶意软件代码隐藏其中,虽然这个特定的日期在语法上有效,但在执行时会生成运行时错误,因此永远不会被执行,因为该日期实际对应的时间是2月31日。
图:来自Sansec分析提供的Crontab任务读取函数
瑞星安全专家表示,虽然目前国内尚未发现该病毒,但由于使用Linux操作系统的企业不在少数,因此CronRAT病毒需要被格外关注。同时瑞星安全专家也提出以下几点防范建议,供广大用户参考:
- 定期检查系统和应用漏洞并及时修复,以防范攻击者利用漏洞获取系统权限;
- SSH等远程登录,不设置使用弱口令,以防范可能存在的暴力破解威胁;
- 管理员可对于该类病毒排查Cron计划任务中存在的可疑且无效的日期;
- 瑞星旗下多款产品可有效查杀Linux系统中各类恶意软件,广大用户可安装使用。