网络安全:恶意Java归档文件的新威胁
重点提示
威胁行为者利用多语言和恶意Java归档文件传播StrRAT和Ratty远程访问木马。深度研究机构发现,StrRAT载荷通过JAR和MSI文件格式在攻击中部署。监测Java进程是检测恶意文件的关键。根据The Hacker News 的报道,威胁行为者正在使用多语言文件和恶意Java归档文件来分发StrRAT和Ratty远程访问木马,以此逃避安全解决方案的检测。深度研究机构的研究人员发现,StrRAT载荷已经被用于一个通过JAR和MSI文件格式进行的攻击,这表明可能通过Windows和Java运行环境实现执行。
与此同时,另一项活动涉及使用CAB和JAR多语言文件来部署StrRAT和Ratty,并利用地址缩短服务rebrandly和cuttly来传播这些恶意文件。安全研究员Simon Kenin表示:“对JAR文件的正确检测应包括静态和动态分析。仅仅扫描每个文件是否在末尾存在中心目录记录是低效的。防御者应当监控‘java’和‘javaw’进程。如果这样的进程带有‘jar’参数,那么传递的文件名应无论扩展名或Linux ‘file’命令的输出如何,都应视为JAR文件。”
贝贝云加速器检测与应对
以下是检测和应对这些威胁的建议:
检测方法描述静态检测分析文件头和结构以确认其类型动态行为监控监控进程执行和参数,尤为关注‘jar’参数进程监控观察‘java’和‘javaw’进程的活动文件来源验证检查文件的来源与其类型是否一致补充信息:保持系统和软件的更新,以及定期审计所有文件和进程的活动是防止这些威胁的重要措施。采取多层防御策略,以提高系统对恶意软件的抵御能力。
这种攻击方式的重现说明了网络安全环境的复杂性,网络安全专家和组织需要不断更新他们的防御策略,以保护用户和系统免受新兴威胁的侵害。
