【摘要】 恶意软件可以同时攻击Windows、Mac和Linux。虽然全平台通杀病毒并不常见,但安全公司Intezer的研究人员发现,一家教育公司上个月被招募
恶意软件可以同时攻击Windows、Mac和Linux。虽然全平台通杀病毒并不常见,但安全公司Intezer的研究人员发现,一家教育公司上个月被招募。
更可怕的是,通过分析域名和病毒库,他们发现这个恶意软件已经存在了半年,直到最近才被检测到。他们把这个恶意软件命名为sysjoker。
Sysjoker的核心部分是Typescript文件,后缀为.ts。一旦感染,就可以远程控制,方便黑客进一步攻击,比如植入勒索病毒。Sysjoker用C++编写,每个变体都是为目标操作系统量身定制的,以前在57个不同的反病毒检测引擎上都没有检测到。
那么Sysjoker到底是如何杀死三大系统的呢?
Sysjoker的感染步骤。
Sysjoker在三种操作系统中的行为相似,以Windows为例,下面将展示Sysjoker的行为。
首先,Sysjoker会伪装成系统更新。一旦用户误以为更新文件开始运行,就会随机睡90到120秒,然后在C:\Programdata\Systemdata\目录下复制自己,改名为igfxcuiservice.exe,伪装成英特尔图形通用户界面服务。
接下来,它使用Liveoftheland命令收集相关机器的信息,包括MAC地址、用户名、物理媒体序列号和IP地址。Sysjoker使用不同的临时文本文件来记录命令的结果。这些文本文件将立即删除并存储在JSON对象中,然后编码并写入名为microsoft_windows.dll的文件。
此外,Sysjoker收集后,软件将键值HKEY_CURENT_USER\Software\Microsoft\Windows\Currentversion\Run保证其持久存在。
恶意软件会在上述步骤之间随机睡眠,以防被检测到。接下来,sysjoker将开始建立远程控制(C2)通信。远程控制是通过下载从谷歌托管的文本文件来生成的。
Googledrive链接指向一个名为domain.txt的文本文件,它是一个以编码形式保存的远程控制文件。在windows系统中,一旦感染完成,sysjoker可以远程运行可执行文件,包括exe、cmd和remove_reg。
此外,在分析过程中,研究人员发现上述服务器地址已经改变了三次,表明攻击者处于活动状态,并监控了被感染的机器。
如何查杀Sysjoker?
虽然Sysjoker现在被杀毒软件检测到的概率很低,但是发现它的Intezer公司还是提供了一些检测方法。用户可以使用内存扫描工具检测内存中Sysjoker的有效负载,或者使用检测内容搜索EDR或SIEM。具体操作方法见Intezer网站。
不要害怕被感染的用户。Intezer还提供了手动杀死Sysjoker的方法。用户可以杀死与Sysjoker相关的过程,删除与Sysjoker相关的相关注册表键值和所有文件。Linux和Mac有不同的感染路径。用户可以在Intezer中查询这些参数,分析他们的计算机是否被感染。