Nuovo malware travestito da processo nginx

I server Nginx sono stati presi di mira da malware di accesso remoto.

https://sansec.io/research/nginrat

Questo attacco, denominato “NginRAT” per la combinazione dell’applicazione mirata e delle capacità di accesso remoto che fornisce, viene utilizzato negli attacchi lato server per rubare i dati delle carte di pagamento dai negozi online.

NginRAT è stato trovato su server di e-commerce in Nord America ed Europa che sono stati infettati da CronRAT, un Trojan ad accesso remoto (RAT) che nasconde il suo payload utile nelle attività pianificate per l’esecuzione in giorni inesistenti nel calendario.

NginRAT ha server infetti negli Stati Uniti, in Germania e in Francia ed è strutturato per non essere rilevato iniettandolo nei processi Nginx che sono indistinguibili dai processi legittimi.

RAT consente la modifica del codice lato server

La società di sicurezza Sansec descrive il nuovo malware come CronRAT, ma entrambi svolgono la stessa funzione in quanto forniscono l’accesso remoto al sistema compromesso.

Sebbene utilizzino tecniche molto diverse per mantenere lo stealth, questi due RAT sembrano avere lo stesso ruolo di fungere da backup per mantenere l’accesso remoto.

Sansec ha affermato di essere stata in grado di studiare NginRAT creando un CronRAT personalizzato e osservando le sue interazioni con un server di comando e controllo (C2) situato in Cina.

Questo server C2 è stato indotto con l’inganno a inviare ed eseguire un payload di libreria condivisa dannoso come parte di un normale scambio dannoso, mascherandosi da “malware più avanzato” di NginRAT.

NginRAT fondamentalmente dirotta l’applicazione Nginx dell’host per evitare il rilevamento. Per fare ciò, NginRAT modifica le funzionalità principali del sistema host Linux. Quando un server web Nginx legittimo utilizza tale funzionalità (come dlopen), NginRAT lo intercetta e si autoinietta – Sansec

Il processo Nginx incorpora malware di accesso remoto alla fine del processo in modo tale che sia indistinguibile dal processo legittimo.

NginRAT è indistinguibile da un processo Nginx legittimo

Secondo un rapporto tecnico pubblicato da Sansec, NginRAT, con l’aiuto di CronRAT, utilizza un comando “dwn” personalizzato per scaricare le librerie di sistema Linux dannose su “/dev/shm/php-shared” per infettare e atterrare sul sistema.

Questa libreria viene invocata utilizzando la funzione di debug LD_PRELOAD di Linux, comunemente usata per testare le librerie di sistema.

Abbiamo anche aggiunto l’opzione “aiuto” più volte alla fine per nascondere ciò che stiamo eseguendo. L’esecuzione di questo comando inietterà NginRAT nell’app Nginx host.

NginRAT può essere difficile da rilevare perché si nasconde come un normale processo Nginx e il codice esiste solo nella memoria del server.

Questo malware viene lanciato utilizzando due variabili, LD_PRELOAD e LD_L1BRARY_PATH. Gli amministratori possono scoprire processi dannosi attivi utilizzando il seguente comando per scoprire processi contenenti “errore di battitura”.

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/
/proc/17199/environ
/proc/25074/environ

Sansec sottolinea che se NginRAT viene trovato su un server, l’amministratore dovrebbe anche controllare l’attività di cron. Se NginRAT viene rilevato su un server, gli amministratori dovrebbero controllare anche l’attività cron, perché è anche lì che è probabile che si nascondano malware aggiunti da CronRAT.