RAT malware แคมเปญใหม่ ใช้ไฟล์หลากหลายภาษาในการหลีกเลี่ยงการตรวจจับ

Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่การพบโทรจันการเข้าถึงจากระยะไกล (remote access trojans RAT) ของ StrRAT และ Ratty ได้ใช้แคมเปญใหม่โดยการใช้ไฟล์ polyglot MSI/JAR และ CAB/JAR เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และ Anti-Virus ซึ่งเป็นที่น่าสนใจมากขึ้น เนื่องจาก StrRAT และ Ratty เป็น RAT malware ที่เคยถูกพบมานานแล้ว

polyglot files คือ ไฟล์หลากหลายภาษารวมกันในรูปแบบไฟล์ตั้งแต่สองรูปแบบขึ้นไป ซึ่ง Hackers ได้ใช้ไฟล์หลายภาษาที่ฝังคำสั่งที่เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และเรียกใช้โดยแอปพลิเคชันที่แตกต่างกันหลายรายการได้โดยไม่มีข้อผิดพลาด โดยล่าสุดที่พบการใช้วิธีการนี้ในการโจมตีคือ มัลแวร์ StrelaStealer ที่กำหนดเป้าหมายไปยังบัญชีผู้ใช้งาน Outlook และ Thunderbird

วิธีการโจมตี

Deep Instinct ได้อธิบายวิธีการโจมตีไว้ว่า ด้วยการรวมรูปแบบ JAR และ MSI ไว้ในไฟล์เดียว โดยไฟล์ JAR เป็นไฟล์ archive ที่จะถูกระบุโดยบันทึกที่ส่วนท้าย ในขณะที่ใน MSI ตัวระบุประเภทไฟล์คือ "magic header" ที่จุดเริ่มต้นของไฟล์ รูปแบบทั้งคู่นี้ทำให้สามารถดำเนินการเป็น MSI ใน Windows และดำเนินการเป็นไฟล์ JAR โดย Java runtime (JAR ไม่ใช่ไฟล์เรียกทำงานจึงไม่ได้รับการตรวจสอบจาก Anti-Virus ทำให้สามารถซ่อนคำสั่งที่เป็นอันตรายได้) รวมไปถึงการใช้การรวมรูปแบบ CAB/JAR แทน MSI เนื่องจากพวกเขามี magic header สำหรับการตีความประเภทไฟล์เช่นกัน

โดยพบว่า แคมเปญนี้ถูกเผยแพร่โดย Sendgrid และ URL shortening เช่น Cutt.ly และ Rebrand.ly ในขณะที่เพย์โหลดของ StrRAT และ Ratty ถูกจัดเก็บไว้ใน Discord

รวมถึงในการตรวจจับของ Virus Total พบว่า รูปแบบ CAB/JAR polyglots ได้รับการรายงานว่าเป็นอันตรายเพียง 6 ราย จาก 59 เครื่องมือรักษาความปลอดภัย และ รูปแบบ MSI/JAR polyglots ได้รับการรายงานเพียง 30 ราย จาก 63 เครื่องมือรักษาความปลอดภัย ดังนั้นอัตราการตรวจพบจึงอยู่ระหว่าง 10% ถึง 50% โดย polyglot files ที่ถูกพบจาก StrRAT และ Ratty มีที่อยู่โฮสติ้งจากที่เดียวกัน โดยอยู่ในประเทศบัลแกเรีย

แม้ว่า Microsoft จะพยายามแก้ไขปัญหาโดยการใช้ระบบตรวจจับตาม signature-based แต่ก็มีวิธีหลบเลี่ยงการตรวจจับ ซึ่ง polyglot files ก็ได้ถือว่าเป็นอีกหนึ่งวิธีในการโจมตี ที่ Hackers ได้พัฒนาวิธีการโจมตีเพื่อหลีกเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และ Anti-Virus

 

ที่มา : bleepingcomputer