パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」」記事へのコメント

  • by Anonymous Coward

    スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

    実行されないならどんな危険なコードでも構わないと思うのだが、何が問題なんだろう?

    • by taka2 (14791) on 2021年11月30日 18時36分 (#4161198) ホームページ 日記

      ・crontabに、「定期的に実行するbashワンライナー」を登録、さらに、「悪意のある長大なスクリプトをgzip圧縮しbase64でテキスト化し、適度に分割したものをコマンドとして、2月31日指定で登録」しておく。

      ・bashワンライナーは、「crontabを読み込んで2月31日のものを抽出、結合し、gzip展開してからbashに流し込んで実行」するというもの。(このワンライナーそのものも、そういう処理を行う複数行スクリプトを、gzip/base64で1行にしてる。)

      ・以上により、悪意のあるシェルスクリプトが定期的に実行される

      という流れです。ワンライナーは正しいbashスクリプト。本体の方はコマンド実行不可な文字列ですが、実行しようとすることはないので問題ない、ということで。

      親コメント
      • by Anonymous Coward

        2月31日はバレなくするための工夫ではなく、
        スクリプトのサイズを増やすための工夫ということかな。

        • by Anonymous Coward

          ということは2/31だけを気にしてもダメってこと?
          今回はわかりやすい日付(作った人の悪ふざけ?)だっただけで
          別の日付でも可能ってことか
          まぁ実際にある日付だとエラーメッセージが飛ぶ可能性があるから使わないだろうってだけなのね

          • 独自のファイルを仕込むと、身に覚えのないファイルに怪しまれる恐れがあるけど、
            どうせ定期実行のためにcrontabに手を入れてる(crontabを見られたら一発でばれる)のなら、
            crontabだけで仕込みが完結するようにしとけば発覚するリスクは減らせる、という判断じゃないですかね。

            「crontabに埋め込む」のが先で、あとは、2月31日指定なんて妙に回りくどいことしなくても、「#で始まるコメント」形式でも使えば自由にデータ埋め込みは出来ますけど、
            デコードの手間を考えると「2月31日指定を抽出」が、余計なものが混じる心配がない、ってあたりかと。

            親コメント
            • by Anonymous Coward

              管理GUIツールで消えないとか?
              # 稀にコメントを消す困ったちゃんが。

            • by Anonymous Coward

              人間がcrontabを見れば異様な長大なbase64で一発でばれるし、そういう手口があることが周知されればセキュリティ製品でも検知できると
              対処不可能な手口では全然ないわけね

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...