恶意软件伪装成系统更新,通杀WinMacLinux三大系统,隐藏半年才被发现
能同时攻击 Windows、Mac、Linux 三大操作系统的恶意软件出现了。虽然"全平台通杀"病毒并不常见,但是安全公司 Intezer 的研究人员发现,有家教育公司在上个月中了招。
更可怕的是,他们通过分析域名和病毒库发现,这个恶意软件已经存在半年之久,只是直到最近才被检测到 。他们把这个恶意软件命名为 SysJoker。
SysJoker 核心部分是后缀名为".ts"的 TypeScript 文件 ,一旦感染就能被远程控制,方便黑客进一步后续攻击,比如植入勒索病毒。SysJoker 用 C++ 编写 ,每个变体都是为目标操作系统量身定制,之前在 57 个不同反病毒检测引擎上都未被检测到 。
那么 SysJoker 到底是如何通杀三大系统的?SysJoker 的感染步骤
SysJoker 在三种操作系统中的行为类似,下面将以 Windows 为例展示 SysJoker 的行为。
首先,SysJoker 会伪装成系统更新。一旦用户将其误认为更新文件开始运行,它就会随机睡眠 90 到 120 秒,然后在 C:\ProgramData\SystemData\ 目录下复制自己,并改名为 igfxCUIService.exe,伪装成英特尔图形通用用户界面服务。
接下来,它使用 Live off the Land(LOtL)命令收集有关机器的信息,包括 MAC 地址、用户名、物理媒体序列号和 IP 地址等。SysJoker 使用不同的临时文本文件来记录命令的结果。这些文本文件会立即删除,存储在 JSON 对象中,然后编码并写入名为 microsoft_windows.dll 的文件。
此外,SysJoker 收集之后软件向注册表添加键值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 保证其持久存在。
在上述每个步骤之间,恶意软件都会随机睡眠,防止被检测到。接下来,SysJoker 将开始建立远程控制(C2)通信。方式是通过下载从 Google Drive 托管的文本文件,来生成远程控制。
Google Drive 链接指向一个名为"domain.txt"的文本文件,这是以编码形式保存的远程控制文件。在 Windows 系统上,一旦感染完成,SysJoker 就可以远程运行包括"exe"、"cmd"、"remove_reg"在内的可执行文件。
而且研究人员在分析期间发现,以上服务器地址更改了三次,表明攻击者处于活动状态,并监控了受感染的机器。如何查杀 SysJoker
尽管 SysJoker 现在被杀毒软件检测出的概率很低,但发现它的 Intezer 公司还是提供了一些检测方法。用户可以使用内存扫描工具检测内存中的 SysJoker 有效负载,或者使用检测内容在 EDR 或 SIEM 中搜索。具体操作方法可以参见 Intezer 网站。
已经感染的用户也不要害怕,Intezer 也提供了手动杀死 SysJoker 的方法。用户可以杀死与 SysJoker 相关的进程,删除相关的注册表键值和与 SysJoker 相关的所有文件。Linux 和 Mac 的感染路径不同,用户可以在 Intezer 查询到这些参数,分析自己的电脑是否被感染。
参考链接:
[1]https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
[2]https://arstechnica.com/information-technology/2022/01/backdoor-for-windows-macos-and-linux-went-undetected-until-now/
微信即日起暂停漂流瓶功能相关服务IT之家12月1日消息30日夜间,微信团队发布公告称,即日起,将暂时下线微信漂流瓶及QQ邮箱漂流瓶相关业务。经IT之家实测,目前,微信及QQ邮箱的漂流瓶功能均已无法捞到其他用户所扔
语音克隆新骗局?微信官方或因使用了外挂软件IT之家11月29日消息今天微信安全中心发布消息称,最近,有用户向我们反馈了这样一则消息赵女士接到自己父亲在微信上发来的消息,说他出来买菜忘记带钱,让赵女士转200元到微信上。赵女
中国私人汽车保有量首度突破2亿辆IT之家2月28日消息国家统计局今天发布了2018年国民经济和社会发展统计公报,公报显示,截至2018年末,我国民用汽车保有量为2。4亿辆(包括三轮汽车和低速货车906万辆),比上
什么XX阿里女高管,就是个卖假面膜的微商本文首发自IT之家微信公众号(ithome),作者启人,原文什么XX阿里女高管,就是个卖假面膜的微商。大家好,我是IT之家的启人。最近一篇刷屏文那个从阿里离职的漂亮女高管,从来不过
IT之家学院最详细的IPv6获取教程,开启64位短码地址感谢IT之家网友软媒用户1167964的线索投递!相信之家很多朋友已经开启了IPv6,正式成为了新网络时代的一员。详情可查看之前的帖子最简单方法教大家快速获取原生IPv6地址。在之
芝麻分750去加拿大已无需交银行财力证明昔日马云曾被拒签9次IT之家11月26日消息据支付宝官方消息,今天加拿大移民部(IRCC)官网公布如今中国游客可提交芝麻信用签证报告用作财务证明,不用到银行打印资金流水来申请签证了。也就是说,只要中国
司机追喊起火雷克萨斯,获滴滴公司500元奖励IT之家1月6日消息据澎湃新闻报道,一辆雷克萨斯汽车1月5日上午行驶到广东广州南站附近时起火冒烟,后车胡师傅追喊提醒,成功将着火的车辆喊停,事后胡师傅因乐于助人获滴滴公司奖励500
单行程前往多地点,滴滴出行宣布上线途径点功能IT之家1月4日消息今日,滴滴宣布上线途径点功能。途中想去存取物品或者接送朋友的乘客,可在行程中添加途经点。具体步骤为,乘客输入目的地时,可点击右侧加号增加途经点。滴滴表示,目前途
今日大暑热得字都冒汗了IT之家7月22日消息今天是农历二十四节气之一的大暑,大暑节气正值三伏天,是一年中日照最多,气温最高的时期。月令七十二候集解中说大暑,六月中你看,热得字都冒汗了,当然,今天全国多地
今日小暑觅一方清凉,守一寸光阴IT之家7月6日消息今天是二十四节气中的小暑,今日23时14分,二十四节气中小暑至,盛夏登场小暑期间正逢三伏天头伏,我国大部分地区进入炎热季节,高温高湿的桑拿天将会出现此时荷花娇艳
今日立夏风雨扬花,绿意遍天涯IT之家5月5日消息今天是5月5日,也是二十四节气当中的立夏属于夏季的第一个节气。立夏的到来,意味着我们已经来到了夏天。今天8时51分迎来夏季的第一个节气立夏。立夏在天文学上是告别