近日,瑞星安全研究院發(fā)現(xiàn)一個專門針對Linux服務器又非常特別的病毒——“CronRAT”,該病毒最大特點是隱藏于Linux服務器系統(tǒng)日歷計劃任務Cron中,因此輕易不會被發(fā)現(xiàn),并且躲避了許多安全產(chǎn)品的掃描。瑞星安全專家表示,CronRAT病毒具有執(zhí)行任意程序的危害,因此廣大用戶應提高警惕。
瑞星安全專家在借鑒了Sansec團隊的分析后表示,Cron是Linux服務器系統(tǒng)的日歷計劃任務,在Linux系統(tǒng)中只要是有效格式,即使日歷中不存在日期(例如:2月31日),也是可以被設定的,而攻擊者就是利用這一特點,將CronRAT病毒藏匿于不存在的日期中,以躲避服務器管理員的注意,同時逃避安全產(chǎn)品的掃描。
通過分析可以看出,CronRAT病毒讀取Crontab任務,設置了特定的日期“52 23 31 2 3”,通過base64以及混淆將惡意軟件代碼隱藏其中,雖然這個特定的日期在語法上有效,但在執(zhí)行時會生成運行時錯誤,因此永遠不會被執(zhí)行,因為該日期實際對應的時間是2月31日。
圖:來自Sansec分析提供的Crontab任務讀取函數(shù)
而攻擊者則利用這一特點,不僅將CronRAT病毒藏匿起來,躲避安全軟件的掃描,還可以通過一個無害的bash腳本,單純的從計劃任務中取出惡意代碼,進而執(zhí)行任意程序,因此CronRAT病毒成為Linux操作系統(tǒng)中的一個極大隱患。
瑞星安全專家表示,雖然目前國內(nèi)尚未發(fā)現(xiàn)該病毒,但由于使用Linux操作系統(tǒng)的企業(yè)不在少數(shù),因此CronRAT病毒需要被格外關注。同時瑞星安全專家也提出以下幾點防范建議,供廣大用戶參考:
- 定期檢查系統(tǒng)和應用漏洞并及時修復,以防范攻擊者利用漏洞獲取系統(tǒng)權(quán)限;
- SSH等遠程登錄,不設置使用弱口令,以防范可能存在的暴力破解威脅;
- 管理員可對于該類病毒排查Cron計劃任務中存在的可疑且無效的日期;
- 瑞星旗下多款產(chǎn)品可有效查殺Linux系統(tǒng)中各類惡意軟件,廣大用戶可安裝使用。