【安全资讯】STRRATL:无需Java环境即可运行的Java RAT

安恒威胁情报中心 2021-09-02 15:16:39 302人浏览

引言

2021年8月30日,研究人员发现了一个由Excel电子表格传播STRRAT的感染活动。STRRAT是一种用 Java 编写的远程访问工具 (RAT),不需要预装 Java 运行环境 (JRE)即可运行。

简况

STRRAT在感染期间会自行安装JRE 环境,STRRAT感染链如下:

如果受害者打开电子表格并在易受攻击的 Windows 主机上启用宏,宏代码会生成未加密的 HTTP 流量到54.202.26[.]55。由 Excel 宏引起的第一个HTTP GET请求和响应返回了大约 18.7 kB 的 ASCII 符号,对同一 IP 地址的第二个 HTTP 请求返回了一个大约 72.1 MB 的 zip 存档。zip保存在新创建的C:\User 下(与C:\Users 的拼写非常接近),然后提取内容,并删除保存的 zip 存档,如下图:

许多 RAT 使用非基于 Web 的 TCP 端口,因此基于 RAT 的感染后流量通常很容易被发现。此外,初始 zip 存档的流量是通过未加密的 HTTP 传输的,来自Github和maven.org 的合法域的 HTTPS 流量似乎是由感染过程引起的。

 

总结

恶意垃圾邮件等大规模分发方法对网络犯罪分子来说仍然便宜且有利可图,因此研究人员预计在未来几个月内会观察到更多传播STRRAT和其他恶意软件的垃圾邮件活动。此外,Windows 10 和 Microsoft Office中的默认安全设置可能会防止这种特定的 STRRAT 感染链。

失陷指标(IOC)3
远程控制RAT STRRAT 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。