Servidores de comércio eletrônico estão sendo atacados por um RAT, ou seja, um trojan de acesso remoto (Remote Access Trojan) que se esconde no processos do Nginx, de uma forma que o torna virtualmente indetectável para as soluções de segurança.

Assim como o Apache, o Nginx (pronuncia-se “EnDinéqs”) é um sistema de servidor web (um processo em execução) que permite que os sites hospedados no Linux estejam acessíveis os usuários. Quando você digita www.canalhacker.com.br em seu navegador e pressiona a tecla ENTER, um sistema de servidor web receberá a sua requisição de acesso e fornecerá o conteúdo do site para você visualizar.

A ameaça recebeu o nome de NginRAT, que tem como função principal permitir acesso remoto (por meio de uma backdoor/porta dos fundos) aos cibercriminosos, para então poderem roubar dados de cartão de crédito de lojas online.

O NginRAT foi encontrado em servidores de comércio eletrônico na América do Norte e na Europa que já tinham sido infectados com uma outra ameaça, o CronRAT, um trojan de acesso remoto (RAT) que oculta payloads em tarefas agendadas para executarem em uma data inválida do calendário.

Nginx: Trojan NginRAT se oculta em servidores web de e-commerce
Configuração de arquivo do crontab | Créditos da imagem: https://www.bleepingcomputer.com/news/security/new-linux-malware-hides-in-cron-jobs-with-invalid-dates/

O NginRAT infectou servidores nos EUA, Alemanha e França, ao se injetar nos processos do Nginx, sendo praticamente impossível diferenciar dos legítimos, permitindo que não sejam detectados.

RATs modificam o código no lado do servidor

Pesquisadores da empresa de segurança Sansec explicam que o novo malware é entregue pelo CronRAT, embora ambos cumpram a mesma função: fornecer acesso remoto para o sistema comprometido.

Willem de Groot, diretor de pesquisa de ameaças da Sansec, disse ao site BleepingComputer que, embora usem técnicas diferentes para manter a sua discrição, os dois RATs parecem ter a mesma função, agindo como um backup do outro para manter o acesso remoto funcionando.

Quem quer que esteja por trás destas ameaças, está usando-as para modificar o código do Nginx, conhecido servidor web de servidores Linux. A empreitada lhes permitiu registrar os dados enviados pelos usuários (solicitações POST). Isso quer dizer que todas as informações enviadas pelos usuários nos sites comprometidos são registradas pelo NginRAT.

A Sansec pôde estudar o NginRAT depois de criar um CronRAT personalizado e observar as comunicações com o servidor de comando e controle (C2) localizado na China.

Os pesquisadores enganaram o C2 para enviar e executar um payload, como parte de uma comunicação maliciosa normal que ocorreria entre o CronRAT e o C2 (controlado pelos cibercriminosos), permitindo “fingir” ser o NginRAT, a parte mais avançada do malware.

Como ocorre a infecção

O NginRAT essencialmente sequestra os processos do Nginx para não ser detectado. Para realizar esta façanha, o NginRAT modifica uma funcionalidade central do Linux. Quando o serviço do Nginx legítimo usa tal funcionalidade (a dlopen, por exemplo), o NginRAT o intercepta para se injetar” – Sansec.

No final desse fluxo, o processo do Nginx já estará comprometido, com o malware já incorporado, de uma forma que será praticamente impossível diferenciá-lo de um processo legítimo.

Nginx: Trojan NginRAT se oculta em servidores web de e-commerce
Processo malicioso do Nginx | Créditos da imagem: https://www.bleepingcomputer.com/news/security/new-malware-hides-as-legit-nginx-process-on-e-commerce-servers/

Em um relatório técnico divulgado hoje (em 02 de dezembro de 2021), a Sansec explica que o NginRAT chega a um sistema comprometido com a ajuda do CronRAT por meio do comando dwn personalizado que faz o download de uma biblioteca maliciosa no diretório /dev/shm/php-shared.

A biblioteca é então carregada com um recurso de debug do Linux conhecido como LD_PRELOAD, que normalmente é usado para testar bibliotecas do sistema.

Para mascarar a execução, o malware também acionou o “help” várias vezes no final. A execução do comando injeta o NginRAT nas configurações do Nginx, para que ele seja carregado como um dos processos do Nginx no Linux alvo.

Detalhes da atuação do NginRAT | Créditos da imagem: https://www.bleepingcomputer.com/news/security/new-malware-hides-as-legit-nginx-process-on-e-commerce-servers/

Como o malware se oculta na forma de um processo normal do Nginx e o código existe apenas na memória do servidor (fileless), detectá-lo pode ser um desafio.

No entanto, o malware é inicializado por meio de duas variáveis, A LD_PRELOAD E LD_L1BRARY_PATH (com o número 1 mesmo). Os administradores podem usar a segunda, que contém um “erro de digitação”, para encontrar os processos maliciosos ativos, com o comando:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/
/proc/17199/environ
/proc/25074/environ

A Sansec observa que se o NginRAT for encontrado no servidor, os administradores devem verificar as tarefas agendas via cron, porque é muito provável que o malware também esteja encondido ali, acionado pelo CronRAT.

Referência:

https://www.bleepingcomputer.com/news/security/new-malware-hides-as-legit-nginx-process-on-e-commerce-servers/

Crédito da imagem usada na capa do post:

https://www.howtogeek.com/410634/what-is-rat-malware-and-why-is-it-so-dangerous/

O que achou?

Animado
0
Feliz
0
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...

More in:Security