时间:2022-11-10 15:29:01
晓发自凹非寺量子位|公众号QbitAI
出现了可以同时攻击Windows、Mac、Linux三大操作系统的恶意软件。 “杀死整个平台”病毒并不常见,但安全公司Intezer的研究人员发现,一家教育公司上个月收到了招募。 更可怕的是,他们通过分析域名和病毒库,发现这个恶意软件已经存在半年多了,直到最近才检测到。 他们把这个恶意软件命名为SysJoker。
SysJoker的核心部分是扩展名为“. ts”的TypeScript文件,一旦感染,将进行远程操作,便于黑客后续攻击。 比如,植入恐吓病毒之类的。 SysJoker用c编写,每个变体都是针对目标操作系统定制的,到目前为止,57个不同的反病毒检测引擎尚未检测到。
那么,SysJoker如何杀死三大系统呢?
SysJoker感染过程SysJoker在三种操作系统上的行为相似。 下面以Windows为例说明SysJoker的动作。 首先,SysJoker伪装系统更新。 当用户误以为更新文件开始运行时,它会随机休眠90~120秒,将自己复制到C:ProgramDataSystemData目录中,然后进入igfxcui service.120秒然后,live off the land (使用lotl命令收集有关计算机的信息,包括MAC地址、用户名、物理介质序列号和IP地址。 SysJoker使用不同的临时文本文件来记录命令的结果。 这些文本文件将立即删除并保存在JSON对象中。 然后,对名为microsoft_windows.dll的文件进行编码并写入。
此外,收集SysJoker后,软件会将键值HKEY _ current _ usersoftwareMicrosoftwindowscurrent versionrun添加到注册表中在上述每个步骤期间,恶意软件随机休眠,以避免被检测到。 接下来,SysJoker开始建立远程控制( C2 )通信。 通过从Google Drive下载托管的文本文件来生成远程控件。
Google Drive链接指向名为“domain.txt”的文本文件。 这是以编码格式保存的远程控制文件。 在Windows系统上,感染完成后,SysJoker可以远程执行包含" exe "、" cmd "和" remove_reg "的可执行文件。
此外,在分析过程中,上述服务器地址的三次更改表明攻击者处于活动状态,正在监视被感染的设备。
如何检查SysJoker尽管SysJoker目前被杀毒软件检测到的概率很低,但发现它的Intezer公司提供了几种检测方法。 用户可以使用内存扫描工具检测内存中的SysJoker有效载荷,也可以使用检测内容通过EDR或SIEM进行搜索。 具体操作方法请参考Intezer的网站。
被感染的用户也不要害怕。 Intezer还提供了手动杀死SysJoker的方法。 用户可以杀死与SysJoker相关的进程,也可以删除相关的注册表键值和所有与SysJoker相关的文件。 Linux和Mac的传染途径不同,用户可以在Intezer中调查这些参数,分析自己的电脑是否被感染。
参考链接: [1] https://www.int ezer.com/blog/malware-analysis/new-back door-sys joker/[2] https://ars technica.com/com
