年底的購物旺季成了駭客的最好舞臺。資安廠商近日發現一隻竊密木馬程式藏匿在電商網站的2月31日行事曆中,以前所未見的高明手法躲避偵測。

由於年底是電商旺季,安全廠商發現多宗以竊取消費者信用卡資訊的惡意程式。安全廠商Sansec威脅研究小組繼上周揭露利用linux_avp可執行檔發動的網頁側錄(Web skimming)攻擊後,本周又公佈鎖定電商網站的最新惡意程式,名為CronRAT遠端存取木馬(remote access trojan,RAT)。

Sansec在多個電商網站發現CronRAT,包括一個國家最大的電商網站。它之所以被命名為CronRAT,是因它躲藏在電商業者後端的Linux伺服器中的行事曆子系統cron,並選定了根本不存在的2月31日,如此一來就不會引起伺服器管理員的注意。另一個特點是,許多安全軟體都不會掃瞄Linux cron系統,也讓它逃過了大部份安全產品的偵測。

CronRAT有多種特殊能力。首先,CronRAT的遠端控制伺服器代管於阿里巴巴雲IP上,並以經混淆(obfuscated)的特製binary協定聯繫以迴避防火牆及封包偵測。它下載到受害Linux的惡意檔案是Bash程式,可設定時間自我毁滅,一經啟動,又會偽裝成Dropbear SSH服務與遠端控制伺服器聯絡。此外,攻擊者還能在多個不同Linux子系統上啟動串聯式RAT(Tandem RAT)。

安全公司指出,CronRAT的高明手法讓攻擊者得以長期滲透到電商網站的Linux伺服器。Sansec發現CronRAT已導致多起Magecart,即支付竊密程式(payment skimmer)攻擊,這類攻擊旨在以側錄程式竊取消費者的信用卡卡號、銀行帳號及網站帳密等資訊。

Sansec威脅研究中心主任Willem de Groot並指出,CronRAT是數位竊密(digital skimming)從單純瀏覽器來到伺服器的最新例子,由於大部份電商網站只實作瀏覽器或Web防護,讓罪犯可從後端下手。顯示安全人員必須考慮完整的攻擊面。

熱門新聞

Advertisement