来自 数据 2022-03-26 01:10 的文章

ddos防护_长沙银行云盾服务开通_优惠券

ddos防护_长沙银行云盾服务开通_优惠券

Forcepoint X-Labs最近一直在监控利用Java平台的新兴恶意软件分发活动。Java下载程序已经成为一个已知的威胁有相当长的一段时间了,但该平台至少有一个未开发的功能可以帮助自动下载和执行恶意软件。Java网络启动协议(JNLP)是一种简单的机制,通过双击相当于Windows链接文件的内容来启动远程Java应用程序。它目前正被用作一种自动执行恶意Java文件的新方法。

什么是Java Web Start?

Java Web Start或Java Network Launch协议——正如程序员经常提到的那样——是一种使用XML标记语言的协议。它的唯一目的是从远程位置自动启动Java应用程序。为此,JNLP文件必须包含要下载和执行的目标Java应用程序包(JAR)的主机地址和路径。一旦用户双击JNLP文件,Java将尝试接触XML结构中描述的主机,下载指定的JAR包,如果成功,则执行它。唯一的先决条件是本地PC上是否存在Java运行时环境(JRE)。

旁注:如果您不确定您的机器上是否安装了Java,您可以按照本指南进行快速检查。

如果您安装了,这可能值得您的it团队关注。至少从2013年起,游戏服务器防御cc,我们就一直在警告Java的易受攻击性。

图1–良性JNLP文件的示例

图1–良性JNLP文件的示例

很明显,此功能为自动下载和执行恶意文件。

最近几周,意大利工作

利用JNLP附件的恶意垃圾邮件活动——无论是原样还是在ZIP存档中——开始出现。这些信息似乎来自意大利公共退休系统的主要实体INPS(国家退休福利机构)。有趣的是,INPS网站在2020年初因意大利公民开始申请福利而遭到攻击;但这一次,ddos防御与入侵防护区别,他们的名字被用作诱饵,这就是组织的相关性。

图2——垃圾邮件发送的虚假INPS电子邮件示例

图2——垃圾邮件发送的虚假INPS电子邮件示例

鼓励人们查看余额,并通过打开附件申请退款。INPS的徽标也包括在内,但仔细查看发件人地址、书写笨拙的邮件正文和附件,很容易发现它可疑。在文本编辑器中打开JNLP附件可以清楚地显示第一阶段C2地址。

图3-恶意JNLP文件示例

图3-恶意JNLP文件示例

第一阶段

从意大利IP地址以外的任何位置访问远程位置将导致服务器忽略请求。考虑到专门的意大利邮件正文以及.it目的地电子邮件地址表明使用地理围栏。当从正确的位置访问C2地址时,会下载一个大约6kb大小的小JAR应用程序。进一步检查后,这个JAR包只包含一个Java类,自建高防cdn,这对于良性Java应用程序来说是不常见的。Java字节码的反编译产生了一小段源代码,还有另一个看起来可疑的远程位置和INPS的官方网站。后者充当诱饵,它将在浏览器中打开,而"nazionale.jpg"将在后台静默下载和执行。

图4–反编译Java类示例

图4–反编译Java类示例

第二阶段

第二阶段C2包含链中的最终负载,并且也是地理隔离的。"nazionale.jpg"文件只有在被接受的地理位置请求时才能成功下载。请注意,在某些情况下,"nazionale.jpg"文件的内容后来被一个良性PuTTY telnet客户端应用程序替换,然后C2将变得无响应-这可能是拆除操作的结果。

有效负载

到目前为止,我们看到部署在第二阶段C2上的二进制文件是两种类型。NSIS归档文件中只有一个嵌入式文件,可以直接加载到内存中并由NSIS脚本执行,cc防御策略,也可以是一个小型可执行文件,上面有一个自定义的exepacker。它们之间的共同点是流行的银行特洛伊木马之一ISFB IAP的分布,这是一种著名的Gozi fork。

小规模活动

只有少数小规模活动使用了JNLP文件,每个都不到1000封电子邮件,并且它们的属性经常变化。以INPS为主题的电子邮件的电子邮件附件很快被更改,而不是JNLP,防御ddos攻击命令,它们将在几天内恢复为带有Excel 4.0宏的文档。6月,Trustwave注意到一种以新冠病毒-19为主题的诱饵推式三角架。最近,我们观察到另一个完全不同的基于JNLP的活动推动了NetWire RAT。这些频繁的更改只是这些活动背后的威胁参与者所使用的常见TTP的反映。

结论

在流行的应用程序或平台中具有autostart功能并不一定意味着它们可以安全使用,也不一定是出于安全考虑而创建的。很可能他们还没有被网络犯罪分子发现和利用。Java的Web Start功能是展示这种技术的完美示例,2013年首次恶意使用JNLP后,多年来一直在默默等待网络犯罪分子的再次访问。建议组织(除非严重依赖它)在网关级别阻止JNLP文件附件,以防止不必要的执行及其后果。

保护声明

Forcepoint客户受到保护在以下攻击阶段抵御此威胁: