瑞星预警:CronRAT病毒深藏不露 恐成Linux重大隐患

近日,瑞星安全研究院发现一个专门针对Linux服务器又非常特别的病毒——“CronRAT”,该病毒最大特点是隐藏于Linux服务器系统日历计划任务Cron中,因此轻易不会被发现,并且躲避了许多安全产品的扫描。瑞星安全专家表示,CronRAT病毒具有执行任意程序的危害,因此广大用户应提高警惕。

瑞星安全专家在借鉴了Sansec团队的分析后表示,Cron是Linux服务器系统的日历计划任务,在Linux系统中只要是有效格式,即使日历中不存在日期(例如:2月31日),也是可以被设定的,而攻击者就是利用这一特点,将CronRAT病毒藏匿于不存在的日期中,以躲避服务器管理员的注意,同时逃避安全产品的扫描。

通过分析可以看出,CronRAT病毒读取Crontab任务,设置了特定的日期“52 23 31 2 3”,通过base64以及混淆将恶意软件代码隐藏其中,虽然这个特定的日期在语法上有效,但在执行时会生成运行时错误,因此永远不会被执行,因为该日期实际对应的时间是2月31日。

图:来自Sansec分析提供的Crontab任务读取函数


而攻击者则利用这一特点,不仅将CronRAT病毒藏匿起来,躲避安全软件的扫描,还可以通过一个无害的bash脚本,单纯的从计划任务中取出恶意代码,进而执行任意程序,因此CronRAT病毒成为Linux操作系统中的一个极大隐患。

瑞星安全专家表示,虽然目前国内尚未发现该病毒,但由于使用Linux操作系统的企业不在少数,因此CronRAT病毒需要被格外关注。同时瑞星安全专家也提出以下几点防范建议,供广大用户参考:

  • 定期检查系统和应用漏洞并及时修复,以防范攻击者利用漏洞获取系统权限;
  • SSH等远程登录,不设置使用弱口令,以防范可能存在的暴力破解威胁;
  • 管理员可对于该类病毒排查Cron计划任务中存在的可疑且无效的日期;
  • 瑞星旗下多款产品可有效查杀Linux系统中各类恶意软件,广大用户可安装使用。
最后编辑麦青儿 最后编辑于 2021-12-10 16:01:08