能同时攻击 Windows,Mac,Linux 三大操作系统的恶意软件出现了.
虽然 "全平台通杀" 病毒并不常见, 但是安全公司 Intezer 的研究人员发现, 有家教育公司在上个月中了招.
更可怕的是, 他们通过分析域名和病毒库发现, 这个恶意软件已经存在半年之久, 只是直到最近才被检测到.
他们把这个恶意软件命名为 SysJoker.
SysJoker 核心部分是后缀名为 ".ts" 的 TypeScript 文件, 一旦感染就能被远程控制, 方便黑客进一步后续攻击, 比如植入勒索病毒.
SysJoker 用 C++ 编写, 每个变体都是为目标操作系统量身定制, 之前在 57 个不同反病毒检测引擎上都未被检测到.
那么 SysJoker 到底是如何通杀三大系统的?
SysJoker 的感染步骤
SysJoker 在三种操作系统中的行为类似, 下面将以 Windows 为例展示 SysJoker 的行为.
首先, SysJoker 会伪装成系统更新.
一旦用户将其误认为更新文件开始运行, 它就会随机睡眠 90 到 120 秒, 然后在 C:\ProgramData\SystemData \ 目录下复制自己, 并改名为 igfxCUIService.exe, 伪装成英特尔图形通用用户界面服务.
接下来, 它使用 Live off the Land(LOtL)命令收集有关机器的信息, 包括 Mac 地址, 用户名, 物理媒体序列号和 IP 地址等.
SysJoker 使用不同的临时文本文件来记录命令的结果. 这些文本文件会立即删除, 存储在 JSON 对象中, 然后编码并写入名为 microsoft_windows.dll 的文件.
此外, SysJoker 收集之后软件向注册表添加键值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 保证其持久存在.
在上述每个步骤之间, 恶意软件都会随机睡眠, 防止被检测到.
接下来, SysJoker 将开始建立远程控制 (C2) 通信.
方式是通过下载从 Google Drive 托管的文本文件, 来生成远程控制.
Google Drive 链接指向一个名为 "domain.txt" 的文本文件, 这是以编码形式保存的远程控制文件.
在 Windows 系统上, 一旦感染完成, SysJoker 就可以远程运行包括 "exe","cmd","remove_reg" 在内的可执行文件.
而且研究人员在分析期间发现, 以上服务器地址更改了三次, 表明攻击者处于活动状态, 并监控了受感染的机器.
如何查杀 SysJoker
尽管 SysJoker 现在被杀毒软件检测出的概率很低, 但发现它的 Intezer 公司还是提供了一些检测方法.
用户可以使用内存扫描工具检测内存中的 SysJoker 有效负载, 或者使用检测内容在 EDR 或 SIEM 中搜索. 具体操作方法可以参见 Intezer 网站.
已经感染的用户也不要害怕, Intezer 也提供了手动杀死 SysJoker 的方法.
用户可以杀死与 SysJoker 相关的进程, 删除相关的注册表键值和与 SysJoker 相关的所有文件.
Linux 和 Mac 的感染路径不同, 用户可以在 Intezer 查询到这些参数, 分析自己的电脑是否被感染.
来源: http://news.51cto.com/art/202201/699432.htm