مجرمو الإنترنت يستخدمون ملفات

مجرمو الإنترنت يستخدمون ملفات متعددة اللغات في توزيع البرامج الضارة تحت الرادار

يتم توزيع أحصنة طروادة الوصول عن بُعد مثل StrRAT و Ratty كمزيج من ملفات أرشيف جافا متعددة اللغات وخبيثة (JAR). مما يسلط الضوء مرة أخرى على الكيفية التي يجد بها الفاعلون المهددون طرقًا جديدة باستمرار للتحليق تحت الرادار. مجرمو الإنترنت يستخدمون ملفات

قال سايمون كينين الباحث الأمني في Deep Instinct في تقرير: “يستخدم المهاجمون الآن تقنية تعدد اللغات لإرباك الحلول الأمنية التي لا تتحقق بشكل صحيح من تنسيق ملف JAR”.

ملفات Polyglot هي ملفات تجمع بين بناء الجملة من تنسيقين مختلفين أو أكثر بطريقة يمكن من خلالها تحليل كل تنسيق دون إثارة أي خطأ.

شركة الأمن السيبراني رصدت تنسيقات JAR و MSI

إحدى حملات 2022 التي رصدتها شركة الأمن السيبراني هي استخدام تنسيقات JAR و MSI – أي ملف صالح كجهاز JAR ومثبت MSI – لنشر حمولة StrRAT. هذا يعني أيضًا أنه يمكن تنفيذ الملف بواسطة كل من Windows و Java Runtime Environment (JRE) بناءً على كيفية تفسيره.

مثال آخر يتضمن استخدام CAB و JAR متعددي اللغات لتقديم كل من Ratty و StrRAT. يتم نشر القطع الأثرية باستخدام خدمات تقصير عناوين URL مثل cutt.ly و rebrand.ly. مع استضافة بعضها على Discord.

وأوضح كينين أن “ما يميز ملفات ZIP هو أنه يتم التعرف عليها من خلال وجود نهاية لسجل الدليل المركزي الموجود في نهاية الأرشيف”. “هذا يعني أنه سيتم تجاهل أي” بريد غير هام “نقوم بإلحاقه في بداية الملف وسيظل الأرشيف صالحًا.”

ينتج عن عدم وجود التحقق الكافي من صحة ملفات JAR سيناريو حيث يمكن للمحتوى الخبيث المُلحق تجاوز برامج الأمان والبقاء غير مكتشوف حتى يتم تنفيذه على المضيفين المخترقين.

ليست هذه هي المرة الأولى التي يتم فيها اكتشاف متعددي اللغات المليء بالبرمجيات الخبيثة في البرية. في تشرين الثاني (نوفمبر) 2022. كشفت شركة DCSO CyTec ومقرها برلين. عن سرقة معلومات أُطلق عليها اسم StrelaStealer والتي انتشرت على أنها DLL / HTML متعدد اللغات.

قال كينين: “يجب أن يكون الكشف الصحيح عن ملفات JAR ثابتًا وديناميكيًا”. “من غير الفعال فحص كل ملف بحثًا عن وجود نهاية لسجل الدليل المركزي في نهاية الملف.” مجرمو الإنترنت يستخدمون ملفات

“يجب على المدافعين مراقبة عمليتي ‘java’ و ‘javaw’. إذا كانت هذه العملية تحتوي على ‘-jar’ كوسيطة. فيجب معاملة اسم الملف الذي تم تمريره كوسيطة كملف JAR بغض النظر عن امتداد الملف أو مخرجات Linux أمر “ملف”. “

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.