恶意软件伪装成系统更新,通杀 Win Mac Linux 三大系统,隐藏半年才被发现
2022-1-18 09:50:0 Author: mp.weixin.qq.com(查看原文) 阅读量:13 收藏

文章来源:量子位

能同时攻击 Windows、Mac、Linux 三大操作系统的恶意软件出现了。

虽然 " 全平台通杀 " 病毒并不常见,但是安全公司 Intezer 的研究人员发现,有家教育公司在上个月中了招。

更可怕的是,他们通过分析域名和病毒库发现,这个恶意软件已经存在半年之久,只是直到最近才被检测到。

他们把这个恶意软件命名为SysJoker。

SysJoker 核心部分是后缀名为 ".ts" 的 TypeScript 文件,一旦感染就能被远程控制,方便黑客进一步后续攻击,比如植入勒索病毒。

SysJoker 用 C++ 编写,每个变体都是为目标操作系统量身定制,之前在 57 个不同反病毒检测引擎上都未被检测到。

那么 SysJoker 到底是如何通杀三大系统的?

SysJoker 的感染步骤

SysJoker 在三种操作系统中的行为类似,下面将以 Windows 为例展示 SysJoker 的行为。

首先,SysJoker 会伪装成系统更新。

一旦用户将其误认为更新文件开始运行,它就会随机睡眠 90 到 120 秒,然后在 C:ProgramDataSystemData 目录下复制自己,并改名为 igfxCUIService.exe,伪装成英特尔图形通用用户界面服务。

接下来,它使用 Live off the Land(LOtL)命令收集有关机器的信息,包括 MAC 地址、用户名、物理媒体序列号和 IP 地址等。

SysJoker 使用不同的临时文本文件来记录命令的结果。这些文本文件会立即删除,存储在 JSON 对象中,然后编码并写入名为 microsoft_windows.dll 的文件。

此外,SysJoker 收集之后软件向注册表添加键值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 保证其持久存在。

在上述每个步骤之间,恶意软件都会随机睡眠,防止被检测到。

接下来,SysJoker 将开始建立远程控制(C2)通信。

Google Drive 链接指向一个名为 "domain.txt" 的文本文件,这是以编码形式保存的远程控制文件。

在 Windows 系统上,一旦感染完成,SysJoker 就可以远程运行包括 "exe"、"cmd"、"remove_reg" 在内的可执行文件。

而且研究人员在分析期间发现,以上服务器地址更改了三次,表明攻击者处于活动状态,并监控了受感染的机器。

如何查杀 SysJoker

尽管 SysJoker 现在被杀毒软件检测出的概率很低,但发现它的 Intezer 公司还是提供了一些检测方法。

用户可以使用内存扫描工具检测内存中的 SysJoker 有效负载,或者使用检测内容在 EDR 或 SIEM 中搜索。具体操作方法可以参见 Intezer 网站。

已经感染的用户也不要害怕,Intezer 也提供了手动杀死 SysJoker 的方法。

用户可以杀死与 SysJoker 相关的进程,删除相关的注册表键值和与 SysJoker 相关的所有文件。

Linux 和 Mac 的感染路径不同,用户可以在 Intezer 查询到这些参数,分析自己的电脑是否被感染。

精彩推荐

多一个点在看

多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650531866&idx=1&sn=3597a76fbfdf50d4305e4b1fcad4fd79&chksm=83ba8dfeb4cd04e889bd1125d4054d4618dcacbe3c56f59b344f0d6578acd158c1823c6cff4d#rd
如有侵权请联系:admin#unsafe.sh