瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 瑞星预警:CronRAT病毒深藏不露 恐成Linux重大隐患
麦青儿 - 2021-12-10 15:59:00
近日,瑞星安全研究院发现一个专门针对Linux服务器又非常特别的病毒——“CronRAT”,该病毒最大特点是隐藏于Linux服务器系统日历计划任务Cron中,因此轻易不会被发现,并且躲避了许多安全产品的扫描。瑞星安全专家表示,CronRAT病毒具有执行任意程序的危害,因此广大用户应提高警惕。

瑞星安全专家在借鉴了Sansec团队的分析后表示,Cron是Linux服务器系统的日历计划任务,在Linux系统中只要是有效格式,即使日历中不存在日期(例如:2月31日),也是可以被设定的,而攻击者就是利用这一特点,将CronRAT病毒藏匿于不存在的日期中,以躲避服务器管理员的注意,同时逃避安全产品的扫描。

通过分析可以看出,CronRAT病毒读取Crontab任务,设置了特定的日期“52 23 31 2 3”,通过base64以及混淆将恶意软件代码隐藏其中,虽然这个特定的日期在语法上有效,但在执行时会生成运行时错误,因此永远不会被执行,因为该日期实际对应的时间是2月31日。

图:来自Sansec分析提供的Crontab任务读取函数


而攻击者则利用这一特点,不仅将CronRAT病毒藏匿起来,躲避安全软件的扫描,还可以通过一个无害的bash脚本,单纯的从计划任务中取出恶意代码,进而执行任意程序,因此CronRAT病毒成为Linux操作系统中的一个极大隐患。

瑞星安全专家表示,虽然目前国内尚未发现该病毒,但由于使用Linux操作系统的企业不在少数,因此CronRAT病毒需要被格外关注。同时瑞星安全专家也提出以下几点防范建议,供广大用户参考:

1
查看完整版本: 瑞星预警:CronRAT病毒深藏不露 恐成Linux重大隐患