Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вредонос NginRAT маскируется под легитимный процесс на серверах Nginx

06/12/21

NginxИнтернет-магазины подвергаются атакам вредоносного ПО для удаленного доступа, которое маскируется на серверах Nginx под легитимный процесс. Вредоносное ПО получило название NginRAT и используется в атаках на стороне сервера для кражи данных платежных карт из интернет-магазинов.

NginRAT был обнаружен на серверах электронной коммерции в Северной Америке и Европе, которые были заражены трояном для удаленного доступа CronRAT. CronRAT — вредоносное ПО, маскирующее свои вредоносные действия путем планирования их выполнения на несуществующий календарный день.

По словам экспертов из компании Sansec, новое вредоносное ПО загружается с помощью CronRAT, хотя оба они выполняют одну и ту же функцию — обеспечивают удаленный доступ к скомпрометированной системе. Несмотря на использование очень разных методов для обеспечения скрытности, оба RAT выступают в качестве резервной копии для сохранения удаленного доступа.

Sansec смогла изучить NginRAT после создания кастомной сборки CronRAT и наблюдения за обменом данными с командным центром хакеров в Китае. Исследователи обманом заставили командный центр отправить и запустить полезную нагрузку теневой библиотеки в рамках обычного злонамеренного взаимодействия, замаскировав NginRAT «более сложным вредоносным ПО».

«NginRAT, по сути, захватывает приложение Nginx, чтобы оставаться незамеченным. Для этого NginRAT изменяет основные функции системы под управлением Linux. Когда легитимный web-сервер Nginx использует определенные функции (например, dlopen), NginRAT перехватывает контроль над ним», — пояснили эксперты.

NginRAT попадает на скомпрометированную систему с помощью CronRAT путем выполнения специальной команды dwn, которая загружает вредоносную системную библиотеку Linux в папку «/dev/shm/php-shared». Затем библиотека запускается с использованием функции отладки LD_PRELOAD в Linux, которая обычно используется для тестирования системных библиотек.

Поскольку NginRAT скрывается под видом обычного процесса Nginx, а код существует только в памяти сервера, его обнаружение может быть проблемой. Вредоносная программа запускается с использованием двух переменных: LD_PRELOAD и LD_L1BRARY_PATH. Администраторы могут использовать последний вариант, содержащий «опечатку», чтобы выявить активные вредоносные процессы.

Как отметили в Sansec, если на сервере обнаружен NginRAT, системным администраторам необходимо проверить задачи cron, потому что именно там может прятаться вредоносное ПО.

Темы:Онлайн-торговляУгрозыкредитные картыNginxRAT
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...