近日,瑞星安全研究院發(fā)現(xiàn)一個專門針對Linux服務(wù)器又非常特別的病毒——“CronRAT”,該病毒最大特點是隱藏于Linux服務(wù)器系統(tǒng)日歷計劃任務(wù)Cron中,因此輕易不會被發(fā)現(xiàn),并且躲避了許多安全產(chǎn)品的掃描。瑞星安全專家表示,CronRAT病毒具有執(zhí)行任意程序的危害,因此廣大用戶應(yīng)提高警惕。
瑞星安全專家在借鑒了Sansec團(tuán)隊的分析后表示,Cron是Linux服務(wù)器系統(tǒng)的日歷計劃任務(wù),在Linux系統(tǒng)中只要是有效格式,即使日歷中不存在日期(例如:2月31日),也是可以被設(shè)定的,而攻擊者就是利用這一特點,將CronRAT病毒藏匿于不存在的日期中,以躲避服務(wù)器管理員的注意,同時逃避安全產(chǎn)品的掃描。
通過分析可以看出,CronRAT病毒讀取Crontab任務(wù),設(shè)置了特定的日期“52 23 31 2 3”,通過base64以及混淆將惡意軟件代碼隱藏其中,雖然這個特定的日期在語法上有效,但在執(zhí)行時會生成運行時錯誤,因此永遠(yuǎn)不會被執(zhí)行,因為該日期實際對應(yīng)的時間是2月31日。
圖:來自Sansec分析提供的Crontab任務(wù)讀取函數(shù)
而攻擊者則利用這一特點,不僅將CronRAT病毒藏匿起來,躲避安全軟件的掃描,還可以通過一個無害的bash腳本,單純的從計劃任務(wù)中取出惡意代碼,進(jìn)而執(zhí)行任意程序,因此CronRAT病毒成為Linux操作系統(tǒng)中的一個極大隱患。
瑞星安全專家表示,雖然目前國內(nèi)尚未發(fā)現(xiàn)該病毒,但由于使用Linux操作系統(tǒng)的企業(yè)不在少數(shù),因此CronRAT病毒需要被格外關(guān)注。同時瑞星安全專家也提出以下幾點防范建議,供廣大用戶參考:
- 定期檢查系統(tǒng)和應(yīng)用漏洞并及時修復(fù),以防范攻擊者利用漏洞獲取系統(tǒng)權(quán)限;
- SSH等遠(yuǎn)程登錄,不設(shè)置使用弱口令,以防范可能存在的暴力破解威脅;
- 管理員可對于該類病毒排查Cron計劃任務(wù)中存在的可疑且無效的日期;
- 瑞星旗下多款產(chǎn)品可有效查殺Linux系統(tǒng)中各類惡意軟件,廣大用戶可安裝使用。
