StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される

Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar

2023/01/13 TheHackerNews — StrRAT/Ratty などのリモート・アクセス型トロイの木馬は、ポリグロット と悪意の Java アーカイブ (JAR) ファイルの組み合わせで配布されており、検知を回避する新しい方法を、脅威アクターが継続的に発見していることを、改めて浮き彫りにしている。Deep Instinct のセキュリティ研究者 Simon Kenin のレポートには、「攻撃者たちは、JAR ファイル形式を適切に検証できないセキュリティ・ソリューションを混乱させるために、ポリグロット手法を使用している」と述べている。

ポリグロット (Polyglot) とは、2つ以上の異なるフォーマットの構文を、それぞれのフォーマットがエラーを出さずにパースできるような方法で、組み合わせたファイルをのことを指す。


Deep Instinct が発見した 2022年のキャンペーンでは、JAR/MSI のフォーマット (JAR/MSI インストーラーとして有効なファイル) を使用して、StrRAT ペイロードを展開していた。つまり、対象となるファイルの解釈方式に基づいて、Windows/Java Runtime Environment (JRE) の、両方で実行できることを意味する。

また、Ratty/StrRAT の両方を配布するために、CAB/JAR ポリグロットを使用した例もある。そのケースでは、一部が Discord でホストされた、cutt.ly/rebrand.ly などの URL 短縮サービスを使って拡散される。

Kenin は、「ZIP ファイルの特徴は、アーカイブの末尾にある end of central directory record の存在により識別が行われることだ。つまり、ファイルの先頭に追加された、あらゆる “ジャンク” な情報が無視され、アーカイブは引き続き有効であることを意味する」と説明している。


したがって、JAR ファイルの検証が不十分であるなら、悪意の付加コンテンツはセキュリティ・ソフトウェアを迂回し、侵入したホストで実行されるまで検出されない、というシナリオが生じる。

このようなマルウェアが混入した、ポリグロットが野放し状態で検出されたのは、今回が初めてのことではない。2022年11月には、ベルリンの DCSO CyTec が、DLL/HTML ポリグロットとして拡散している、StrelaStealer と呼ばれる情報スティーラーを発見している。

Kenin は、「JAR ファイルの適切な検出は、静的/動的の両方で行われるべきだ。すべてのファイルをスキャンして、ファイル末尾の end of central directory record の存在を確認するのは、とても非効率なことである。したがって、防御者は、java/javaw の、両方のプロセスを監視すべきだ。そのようなプロセスが、引数として ‘-jar’ を持つ場合には、引数として渡されたファイル名は、ファイル拡張子や Linux の ‘file’ コマンドの出力とは無関係に、JAR ファイルとして扱われるべきだ」と述べている。

防御側の検知を回避するための、ポリグロット (Polyglot) という手法があるという話です。また、ZIP ファイルの末尾にある end of central directory record の存在というのも、防御側にとって厄介なことのようです。2022/12/28 の Excel への再攻撃を狙う APT:新たな手口は XLL Add-in 侵入ベクター では、MoTW 回避の新たな方式が紹介されていました。いずれにしても、Web やメールから取得される、添付ファイルの安全性の確認が、大きなテーマになっているようです。

%d bloggers like this: