StrRAT ve Ratty gibi uzaktan erişim truva atları, çok dilli ve kötü amaçlı Java arşivinin (KAVANOZ) dosyaları, tehdit aktörlerinin radarın altından uçmanın sürekli olarak nasıl yeni yollar bulduklarını bir kez daha vurguluyor.
Deep Instinct güvenlik araştırmacısı Simon Kenin, “Saldırganlar artık JAR dosya biçimini doğru bir şekilde doğrulamayan güvenlik çözümlerini karıştırmak için çok dilli tekniği kullanıyor.” dedim bir raporda.
Çok dilli dosyalar iki veya daha fazla farklı formattaki sözdizimini, her format herhangi bir hataya yol açmadan ayrıştırılabilecek şekilde birleştiren dosyalardır.
Siber güvenlik firması tarafından tespit edilen böyle bir 2022 kampanyası, StrRAT yükünü dağıtmak için JAR ve MSI biçimlerinin (yani hem JAR hem de MSI yükleyici olarak geçerli olan bir dosya) kullanılmasıdır. Bu ayrıca, dosyanın nasıl yorumlandığına bağlı olarak hem Windows hem de Java Runtime Environment (JRE) tarafından yürütülebileceği anlamına gelir.
Başka bir örnek, hem Ratty hem de StrRAT’ı iletmek için CAB ve JAR poliglotlarının kullanımını içerir. Eserler, bazıları Discord’da barındırılan cutt.ly ve rebrand.ly gibi URL kısaltma hizmetleri kullanılarak yayılır.
“ZIP dosyalarının özelliği, bir dosyanın varlığıyla tanımlanmalarıdır. merkezi dizin kaydının sonu Kenin, “Bu, dosyanın başına eklediğimiz herhangi bir ‘çöp’ün yok sayılacağı ve arşivin hala geçerli olduğu anlamına gelir.”
JAR dosyalarının yeterli şekilde doğrulanmaması, eklenen kötü amaçlı içeriğin güvenlik yazılımını atlayabileceği ve güvenliği ihlal edilmiş ana bilgisayarlarda yürütülene kadar tespit edilmeden kalabileceği bir senaryoya yol açar.
Bu, bu tür kötü amaçlı yazılım bulaşmış çok dilli dillerin vahşi ortamda ilk kez tespit edilişi değil. Kasım 2022’de Berlin merkezli DCSO CyTec, adlı bir bilgi hırsızını ortaya çıkardı. StrelaStealer bu bir DLL/HTML poliglot olarak yayıldı.
Kenin, “JAR dosyaları için uygun algılama hem statik hem de dinamik olmalıdır” dedi. “Dosyanın sonunda bir merkezi dizin sonu kaydının varlığı için her dosyayı taramak verimsizdir.”
“Savunanlar hem ‘java’ hem de ‘javaw’ işlemlerini izlemelidir. Böyle bir süreçte argüman olarak ‘-jar’ varsa, argüman olarak iletilen dosya adı, dosya uzantısına veya Linux’un çıktısına bakılmaksızın bir JAR dosyası olarak ele alınmalıdır. ‘dosya’ komutu.”