Ngày 13 tháng 1 năm 2023Ravie LakshmananPhát hiện mối đe dọa mạng / phần mềm độc hại
Các trojan truy cập từ xa như StrRAT và Ratty đang được phân phối dưới dạng sự kết hợp của các tệp lưu trữ Java (JAR) đa ngôn ngữ và độc hại, một lần nữa nhấn mạnh cách các tác nhân đe dọa liên tục tìm ra những cách mới để vượt qua tầm kiểm soát.
Simon Kenin, nhà nghiên cứu bảo mật Deep Instinct cho biết: “Những kẻ tấn công hiện sử dụng kỹ thuật đa ngôn ngữ để gây nhầm lẫn cho các giải pháp bảo mật không xác thực đúng định dạng tệp JAR.
Các tệp đa ngôn ngữ là các tệp kết hợp cú pháp từ hai hoặc nhiều định dạng khác nhau theo cách sao cho mỗi định dạng có thể được phân tích cú pháp mà không gây ra bất kỳ lỗi nào.
Một chiến dịch năm 2022 như vậy được công ty an ninh mạng phát hiện là việc sử dụng các định dạng JAR và MSI – tức là một tệp hợp lệ dưới dạng cả JAR và trình cài đặt MSI – để triển khai tải trọng StrRAT. Điều này cũng có nghĩa là tệp có thể được thực thi bởi cả Windows và Môi trường chạy thi hành Java (JRE) dựa trên cách nó được diễn giải.
Một ví dụ khác liên quan đến việc sử dụng các đa ngôn ngữ CAB và JAR để cung cấp cả Ratty và StrRAT. Các tạo phẩm lạ được lan truyền bằng cách sử dụng các dịch vụ rút ngắn URL như cutt.ly và rebrand.ly, với một số trong số chúng được lưu trữ trên Discord.
Kenin giải thích: “Điều đặc biệt về các tệp ZIP là chúng được xác định bằng sự hiện diện của một bản ghi thư mục cuối thư mục trung tâm nằm ở cuối kho lưu trữ. “Điều này có nghĩa là bất kỳ ‘rác' nào chúng tôi thêm vào phần đầu của tệp sẽ bị bỏ qua và tệp lưu trữ vẫn hợp lệ.”
Việc thiếu xác thực đầy đủ các tệp JAR dẫn đến tình huống trong đó nội dung độc hại được thêm vào có thể vượt qua phần mềm bảo mật và không bị phát hiện cho đến khi chúng được thực thi trên các máy chủ bị xâm nhập.
Đây không phải là lần đầu tiên những phần mềm đa ngôn ngữ có chứa phần mềm độc hại như vậy được phát hiện ngoài tự nhiên. Vào tháng 11 năm 2022, DCSO CyTec có trụ sở tại Berlin đã phát hiện ra một phần mềm đánh cắp thông tin có tên là StrelaStealer, phần mềm này phát tán dưới dạng đa ngôn ngữ DLL/HTML.
“Việc phát hiện thích hợp cho các tệp JAR phải là cả tĩnh và động,” Kenin nói. “Sẽ không hiệu quả khi quét mọi tệp để tìm sự hiện diện của phần cuối của bản ghi thư mục trung tâm ở cuối tệp.”
“Những người bảo vệ nên giám sát cả hai quy trình ‘java' và ‘javaw'. Nếu một quy trình như vậy có ‘-jar' làm đối số thì tên tệp được chuyển làm đối số sẽ được coi là tệp JAR bất kể phần mở rộng tệp hoặc đầu ra của linux lệnh ‘tập tin'.”
