Bloody Wolf vs Қазақстан (II бөлім - Капот астында)

TL;DR

Java зияндыларының сирек болуына қарамастан, JAR негізіндегі шабуылдар Қазақстан инфрақұрылымы үшін әсіресе жоғары тәуекел тудырады. Тарихи түрде пайдаланушылар электрондық қолтаңба үшін NCALayer орнатуы керек — іске қосу үшін Java Virtual Machine (JVM) қажет бағдарламалық жасақтама.

Java деген не?

Java — виртуалды машина (JVM) арқылы әртүрлі ОЖ-да байткодты іске қосу мүмкіндігі бар кроссплатформалық бағдарламалау тілі және орындау ортасы (JRE). Басқаша айтқанда, әзірлеушіге жаңа ОЖ немесе браузермен кездескен кезде қосымшаны әр қайта жазуға қажет жоқ. Сондықтан Java әртүрлі құрылғылар үшін веб-сайттар мен бағдарламалық жасақтама әзірлеушілері арасында өте танымал.

Зиянды үшін не қажет?

Java зияндысын дұрыс іске қосу үшін орнатылған JRE қажет, ол әлі корпоративтік инфрақұрылымда кездеседі. Шабуылшылар орта конфигурациясына қарамастан зиянды кодты іске қосу үшін жиі өз JRE-ін тікелей .exe файлына енгізеді.

Қазақстан контекстінде NCALayer кеңірдек пайдалану осалдықты күшейтеді, өйткені JRE көптеген жұмыс станцияларында орнатылған. Мысалы, 2023 жылғы инцидентте шабуылшылар NCALayer "жаңартуын" орнату сұраған фишинг хаттарын жіберді, бұл зиянды скрипт жүктелуіне және RAT орнатуына (Venom RAT v6.0.1) әкелді. Бұл NCALayer танымалдығының Bloody Wolf тобы қолданатын STRRAT сияқты шабуылдарды маскировкалау үшін қалай пайдаланылатынын көрсетеді.

Java-мен байланысты шабуылдардың таралуы

Біздің Threat Intelligence қызметі деректері бойынша келесі қорытындылар жасауға болады:

2024–2025 жылдарға арналған есептерде зиянды JAR файлын пайдаланатын төрт кампания байқалады. Бірнеше зерттеулерде JAR файлдары болғанымен, JAR негізгі инфицирование векторы ретінде пайдаланатын шабуылдардың жалпы көлемі кішкене қала беруде.

Келесіде қорғаныс құралдарын айлауға және мұндай белсенділікті анықтау бойынша тәжірибемізге қараймыз.

Зиянды STRRAT JAR файлын (NCALayer240RU.jar) тестілеу Elastic және Microsoft Defender сияқты EDR жүйелері белсенділік кезеңінде (мамыр–маусым) оқиғаларды тіркелмегенін көрсетті, зиянды мінез-құлықтың анық белгілеріне қарамастан: желілік қосылымдар, жүйеде бекіту әрекеттері және автозагрузка манипуляциялары. Бұл JAR негізіндегі шабуылдарға тән стандартты емес әдістерге байланысты:

• Код обфускациясы: STRRAT жол тұрақтары мен әдіс атауларын шифрлайтын обфускация құралдарын пайдаланады, EDR сигнатуралық талдауын қиындатады.
• Кешіктірілген орындау: NCALayer240RU.jar мысалы 3 минуттан кейін орындауды жоспарлау үшін ScheduledExecutorService пайдаланады, уақыт шектеулері бар құм қораптарын айлады.
• Динамикалық класс жүктеу: STRRAT және ұқсас үлгілер жадта бинарлық blob-ты шешу және орындау үшін ClassLoader.defineClass() қолданады, дискке жазудан аулақ болады және талдауды қиындатады.
• Анти-талдау: Зиянды ProcessHandle.allProcesses() арқылы EDR/AV (мысалы, defender, avast) және құм қораптарын (user, test, lab хостнеймдері) тексеріп, анықталғанда орындауды тоқтатады.
• EDR соқыр аймақтары: EDR нативті Windows API (ntdll.dll, kernel32.dll) назарын аударады, ал JVM ішіндегі (java.exe, javaw.exe) әрекеттер байткод интерпретациясы мен JIT компиляциясы арқылы жасырын қалады.
• Екінші кезең жүктеу: Уақытша JAR (мысалы, C:\Users\user\AppData\Local\Temp\tmp35290.jar) %TEMP%-та сақталады және Runtime.getRuntime().exec() арқылы javaw.exe арқылы іске қосылады.
• Заңды мінез-құлық имитациясы: GUI жалған "борыш жоқ" хабарламасын көрсетеді, NCALayer ретінде маскировкалау үшін заңды КГД сайты ашылады.
• C2 коммуникациясы: JAR-лоадер келесі кезең URL-сі үшін pastebin.com-ға жүгінеді, статикалық бұғаттауларды айлайды.
• Реестрсіз автозагрузка: Зиянды %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\NCALayerServer.jar-ға көшіріледі, реестрден аулақ болады.
• Shell-сіз іске қосу: ProcessBuilder("java", "-jar", <жол>) пайдалану cmd.exe немесе powershell-ді айлайды, мінез-құлық ережелерімен анықтауды азайтады.

86 AV шешімі қатысқан VirusTotal-мен жүргізілген 2022 жылғы зерттеу бойынша JAR зияндыларының жалпы орташа анықтау деңгейі тек 34,95% болды.

2.1 Elastic Security-та SIEM ережелерінің жеткіліксіздігі

Тағы бір кемшілік — Java-мен байланысты prebuilt анықтау ережелерінің саны: Elastic Security-та әдепкі бойынша тек үш осындай ереже бар. Бұл стандартты емес және сирек кездесетін орындау форматын пайдаланатын шабуылдардан қорғаныста соқыр аймақтар жасайды.

Шешім ретінде кез келген JAR файлын іске қосуды анықтау үшін әр ОЖ үшін қарапайым бірақ тиімді ереже ұсынамыз:

process where host.os.type == "windows" and event.type == "start" and
process.name == "javaw.exe" and
process.executable: "*\\bin\\javaw.exe" and
process.args: "-jar"

process where host.os.type == "linux" and event.type == "start" and
process.name == "java" and
process.args: ("*-jar*", "*.jar") and
process.executable: ("/usr/bin/java", "/usr/lib/jvm/*/bin/java")

process where host.os.type == "macos" and event.type == "start" and process.name == "java" and
process.executable: (
"/usr/bin/java",
"/Library/Java/*/bin/java",
"/Users/*/.sdkman/candidates/java/*/bin/java",
"*/bin/java")
and (process.args: ("-jar*", "-J-jar*")
or process.args: ("*.jar", "*/*.jar")
or process.command_line: ("*-jar*", "*.jar"))

Сондай-ақ Java бала процессін іске қосумен байланысты күмәнді мінез-құлықты анықтайтын Sigma ережелерін пайдалануды ұсынамыз.

Мақсат: SOC тобының Қазақстан контекстінде (NCALayer сияқты) заңды helloworld.jar көмегімен STRRAT-ты имитациялайтын Java процесін іске қосуды, автозагрузканы, C2-ға ұқсас трафикті және аномалияларды анықтай алатынын тексеру.

Жорамал: Сізде https://github.com/jarirajari/helloworld/blob/master/helloworld.jar helloworld.jar бар. Тестілеу алдында Java Runtime Environment (JRE) орнатылғанын тексеріңіз:

java -version

4.1. Java процесін іске қосуды тексеру

• Тапсырма: STRRAT сияқты стандартты емес қалтадан helloworld.jar іске қосуды анықтайтыныңызды тексеріңіз.
• Әрекеттер: helloworld.jar жүктеңіз (әлі жүктелмеген болса):

wget https://github.com/jarirajari/helloworld/raw/master/helloworld.jar

helloworld.jar-ды AppData\Roaming-ға қойып, іске қосыңыз:

Copy-Item helloworld.jar $env:APPDATA\helloworld.jar

Start-Process -FilePath "java" -ArgumentList "-jar $env:APPDATA\helloworld.jar" -NoNewWindow

• Күтілетін нәтиже: AppData\Roaming-дан Java іске қосылуы және ескерту тіркелуі.

4.2. Автозагрузканы тексеру

• Тапсырма: STRRAT персистенттілігін имитациялайтын жоспарланған тапсырма жасалуын анықтайтыныңызды тексеріңіз.
• Әрекеттер: Маскировка мен жасырын кестесі бар жоспарланған тапсырма жасаңыз:

schtasks /create /tn "NCALayerUpdate" /tr "cmd.exe /c java -jar %APPDATA%\helloworld.jar" /sc daily /st 02:00 /f

• Тапсырманы жойыңыз:

schtasks /delete /tn "NCALayerUpdate" /f

Күтілетін нәтиже: жоспарланған тапсырма жасалуы туралы ескерту.

4.3. Pastebin-нен файл жүктеуді тексеру

• Тапсырма: STRRAT сияқты Pastebin файлын жүктеу үшін HTTPS сұрауын анықтайтыныңызды тексеріңіз.
• Әрекеттер: Файл жүктеу сұрауын орындаңыз:

Invoke-WebRequest -Uri "https://pastebin.com/raw/dFKy3ZDm" -OutFile "$env:APPDATA\testfile.txt"

• Күтілетін нәтиже: Pastebin-ге HTTPS сұрауы мен файл жасалуы тіркелуі, ескерту тіркелуі.

JAR негізіндегі шабуылдар әсіресе Қазақстанда қауіпті қауіп тудырады. Шабуылшылар әлеуметтік инженерияны, динамикалық RAT жүктеуді, кешіктірілген іске қосуды және бекіту механизмдерін пайдаланып дәстүрлі EDR жүйелерін тиімді айлайды.

Сенімді аутсорсингтік SOC қауіпсіздікте негізгі рөл атқарады, тәулік бойы мониторинг, жылдам инцидентке жауап беру және ағымдағы IOC және TTP негізінде анықтау ережелерін уақытылы жаңарту ұсынады. Пайдаланушыларға бағдарламалық жасақтаманы тек ресми көздерден (мысалы, pki.gov.kz) жүктеу және мінез-құлық талдау функциялары бар антивирустық шешімдерді пайдалану ұсынылады.

1. https://bi.zone/expertise/blog/bloody-wolf-primenyaet-kommercheskoe-vpo-strrat-protiv-organizatsiy-v-kazakhstane/
2. https://media.kaspersky.com/pdf/Report_Java_under_attack_2012-2013.pdf
3. https://cyble.com/blog/strrats-latest-version-incorporates-dual-obfuscation-layers/
4. https://snailsploit.com/evading-endpoint-detection-and-response-edr-f18cf2da38ed
5. https://www.nature.com/articles/s41598-022-05921-5
6. https://detection.fyi/sigmahq/sigma/windows/process_creation/proc_creation_win_java_susp_child_process/
7. https://en.wikibooks.org/wiki/Java_Programming/Reflection/Dynamic_Class_Loading
8. https://www.elastic.co/docs/solutions/security/detect-and-alert/create-detection-rule
9. https://egov.kz/cms/sites/default/files/kaz_instr_ncalayer_4.pdf
10. https://bluescreen.kz/tiekhnichieskii-razbor-intsidienta-s-falshivym-obnovlieniiem-ncalayer/