Вредонос NginRAT маскируется под легитимный процесс на серверах Nginx
06/12/21
Интернет-магазины подвергаются атакам вредоносного ПО для удаленного доступа, которое маскируется на серверах Nginx под легитимный процесс. Вредоносное ПО получило название NginRAT и используется в атаках на стороне сервера для кражи данных платежных карт из интернет-магазинов.
NginRAT был обнаружен на серверах электронной коммерции в Северной Америке и Европе, которые были заражены трояном для удаленного доступа CronRAT. CronRAT — вредоносное ПО, маскирующее свои вредоносные действия путем планирования их выполнения на несуществующий календарный день.
По словам экспертов из компании Sansec, новое вредоносное ПО загружается с помощью CronRAT, хотя оба они выполняют одну и ту же функцию — обеспечивают удаленный доступ к скомпрометированной системе. Несмотря на использование очень разных методов для обеспечения скрытности, оба RAT выступают в качестве резервной копии для сохранения удаленного доступа.
Sansec смогла изучить NginRAT после создания кастомной сборки CronRAT и наблюдения за обменом данными с командным центром хакеров в Китае. Исследователи обманом заставили командный центр отправить и запустить полезную нагрузку теневой библиотеки в рамках обычного злонамеренного взаимодействия, замаскировав NginRAT «более сложным вредоносным ПО».
«NginRAT, по сути, захватывает приложение Nginx, чтобы оставаться незамеченным. Для этого NginRAT изменяет основные функции системы под управлением Linux. Когда легитимный web-сервер Nginx использует определенные функции (например, dlopen), NginRAT перехватывает контроль над ним», — пояснили эксперты.
NginRAT попадает на скомпрометированную систему с помощью CronRAT путем выполнения специальной команды dwn, которая загружает вредоносную системную библиотеку Linux в папку «/dev/shm/php-shared». Затем библиотека запускается с использованием функции отладки LD_PRELOAD в Linux, которая обычно используется для тестирования системных библиотек.
Поскольку NginRAT скрывается под видом обычного процесса Nginx, а код существует только в памяти сервера, его обнаружение может быть проблемой. Вредоносная программа запускается с использованием двух переменных: LD_PRELOAD и LD_L1BRARY_PATH. Администраторы могут использовать последний вариант, содержащий «опечатку», чтобы выявить активные вредоносные процессы.
Как отметили в Sansec, если на сервере обнаружен NginRAT, системным администраторам необходимо проверить задачи cron, потому что именно там может прятаться вредоносное ПО.