游戲中,“Triple Kill”通常意為“三殺”,即玩家在較短時(shí)間內(nèi)連續(xù)消滅 3 個(gè)敵人的一種游戲表現(xiàn)。
而近來,網(wǎng)絡(luò)安全公司 Intezer 發(fā)現(xiàn)的一款后門惡意軟件也實(shí)現(xiàn)了“Triple Kill”:同時(shí)攻擊 Windows、macOS 和 Linux 三大操作系統(tǒng),且?guī)缀跛袗阂廛浖呙枰娑紵o法檢測到它。
安然無恙地“藏”了半年
Intezer 將這個(gè)后門惡意軟件命名為 SysJoker,由 C++ 編寫,于 2021 年 12 月在一家教育機(jī)構(gòu)基于 Linux 的 Web 服務(wù)器上主動(dòng)攻擊時(shí)才被首次發(fā)現(xiàn)——根據(jù)在線查毒網(wǎng)站 VirusTotal 發(fā)現(xiàn)的 C2(即 Command and Control,命令及控制)域名注冊和樣本,Intezer 推測早在 2021 年下半年 SysJoker 就已發(fā)起攻擊,只是一直“藏”得很好。
不僅 Linux,Intezer 發(fā)現(xiàn) SysJoker 還有 Mach-O 和 Windows PE 版本,甚至每個(gè)版本都針對特定操作系統(tǒng)進(jìn)行了“量身定制”,在 VirusTotal 上經(jīng) 57 個(gè)不同反病毒掃描引擎檢測都沒有發(fā)現(xiàn)它的存在。
對此,Intezer 將 SysJoker 定義為“針對 Windows、macOS 和 Linux 的新多平臺后門”。
隱秘的入侵過程
據(jù)分析,SysJoker 入侵三大系統(tǒng)用的都是一個(gè)套路,為方便詳細(xì)講解該惡意軟件的入侵過程,Intezer 以 Windows 為例。
首先,為獲取用戶信任,SysJoker 會(huì)偽裝成系統(tǒng)更新的一部分。一旦 SysJoker 程序被執(zhí)行,它會(huì)隨機(jī)休眠 90-120 秒,然后創(chuàng)建 C:\ProgramData\SystemData\ 目錄,隨后將自身復(fù)制至該目錄并偽裝成 igfxCUIService.exe,即英特爾圖形通用用戶界面服務(wù)。
然后,SysJoker 就會(huì)通過離地攻擊(Living off the Land,即LOtL)來收集 MAC 地址、用戶名、物理序列號和 IP 地址等設(shè)備信息,并使用不同的臨時(shí)文本文件來記錄命令結(jié)果。完成使命后,這些文本文件會(huì)立即刪除,存儲在 JSON 對象中,編碼并寫入名為 microsoft_windows.dll 的文件中。
SysJoker 在內(nèi)存中構(gòu)建的 JSON 對象
為確保惡意行為持續(xù)不斷,SysJoker 還會(huì)向注冊表添加鍵值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。不僅如此,SysJoker 的“反偵察”意識也很強(qiáng)——上述所有步驟之間,SysJoker 都會(huì)隨機(jī)休眠一段時(shí)間以防被發(fā)現(xiàn)。
在以上工作完成后,SysJoker 便會(huì)開始建立 C2 通信,通過解碼從托管在 Google Drive 上的文本文件中檢索到的字符串來生成其 C2。Google Drive 鏈接托管一個(gè)名為 domain.txt 的文本文件,該文件包含一個(gè)編碼的 C2,SysJoker 將使用 CyberChef 解碼 C2,并將收集到的用戶信息發(fā)送到 C2 的 /api/attach 目錄作為第一次握手。
(更多細(xì)節(jié)可參見:https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/)
據(jù) Intezer 研究人員發(fā)現(xiàn),C2 更改了 3 次,這意味著攻擊者處于活動(dòng)狀態(tài)并正在監(jiān)視受感染的設(shè)備。
入侵完成后,SysJoker 可以從 C2 中接收包括 exe、cmd、 remove_reg 和 exit 在內(nèi)的可執(zhí)行文件(Intezer 補(bǔ)充道,當(dāng)前版本中沒能實(shí)現(xiàn) remove_reg 和 exit。根據(jù)指令名稱,Intezer 推測 remove_reg 和 exit 應(yīng)該負(fù)責(zé)的是惡意軟件的自我刪除)。
SysJoker 與 C2 之間的通信流程
最后,通過對 SysJoker 的種種細(xì)節(jié)分析,Intezer 發(fā)現(xiàn)該惡意軟件很不尋常:
代碼是從頭開始編寫的,這在其他攻擊中從未見過。最重要的是,通常在實(shí)時(shí)攻擊中,很少有以前不曾發(fā)現(xiàn)的 Linux 惡意軟件。
攻擊者注冊了至少 4 個(gè)不同的域,并為三種不同的操作系統(tǒng)從頭開始編寫惡意軟件。
整個(gè)分析過程中,沒有發(fā)現(xiàn)攻擊者發(fā)送的第二階段命令,這表明攻擊是特定的。
由此,Intezer 推斷 SysJoker 的背后應(yīng)是高級攻擊者,且根據(jù)其功能,未來很可能用于間諜活動(dòng)、橫向移動(dòng)或勒索軟件攻擊。
如何檢測并解決?
雖然該惡意軟件的檢測目前還比較艱難,但 Intezer 還是給出了一些有效的檢測方法:用內(nèi)存掃描器檢測內(nèi)存中的 SysJoker 有效載荷,或利用檢測內(nèi)容在 EDR 或 SIEM 中進(jìn)行搜索。
如果發(fā)現(xiàn)系統(tǒng)已被入侵,可執(zhí)行以下步驟:
1、殺死與 SysJoker 相關(guān)的進(jìn)程,刪除相關(guān)的持久化機(jī)制,以及所有與 SysJoker 相關(guān)的文件;
2、運(yùn)行內(nèi)存掃描程序,確保被入侵的設(shè)備已安全;
3、調(diào)查惡意軟件的初始入口點(diǎn)。
參考鏈接:
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
本文來自微信公眾號“CSDN”(ID:CSDNnews),整理:鄭麗媛 ,36氪經(jīng)授權(quán)發(fā)布。
- 立案20件!安徽嚴(yán)查哄抬物價(jià)等價(jià)格違法行為 督促經(jīng)營者守法經(jīng)營
- 陜西消保委發(fā)出“五一”消費(fèi)提示 按需購買防浪費(fèi)理性消費(fèi)樹新風(fēng)
- 養(yǎng)元飲品一季度凈利潤下降 今年上市公司買理財(cái)規(guī)模降至近五年最低
- 失守3000點(diǎn)!滬指重挫逾5%創(chuàng)兩年來最大單日跌幅 兩市跌停股票超700只
- 一季度西安市地區(qū)生產(chǎn)總值同比增2.8% 第一產(chǎn)業(yè)增加值增長4.4%
- 今年以來露營活動(dòng)火爆“出圈” 露營從專業(yè)小眾走向休閑大眾
- 香港47人被控"串謀顛覆國家政權(quán)罪" 法官首次披露:11人擬認(rèn)罪
- 日本沖繩水壩發(fā)現(xiàn)千余枚啞彈 皆為美國制造
- 中新網(wǎng)評:“動(dòng)態(tài)清零”就是不放棄任何一個(gè)群體
- 國臺辦:在滬臺商臺企踴躍捐款捐物 捐贈(zèng)物資及現(xiàn)金合計(jì)超1097萬元
- 看抗疫“高亮瞬間”一秒變漫畫
- 俄羅斯別爾哥羅德州一座彈藥庫起火 現(xiàn)場傳出疑似爆炸聲
- 【數(shù)據(jù)圖解】一季度經(jīng)濟(jì)運(yùn)行亮點(diǎn)丨交通運(yùn)輸經(jīng)濟(jì)運(yùn)行總體實(shí)現(xiàn)平穩(wěn)開局
- “中國在全球復(fù)蘇中發(fā)揮著重要作用”
- 一季度國家開發(fā)銀行211億元貸款支持物流流通體系建設(shè)
- 文旅部組織開展文化和旅游市場打擊整治養(yǎng)老詐騙專項(xiàng)行動(dòng)
- 上海外籍志愿者抗疫故事?
- MOBA游戲地圖受著作權(quán)法保護(hù)嗎
- 一秤一尺,丈量中國誠信
- 臺媒稱臺軍方將延長太平島跑道供戰(zhàn)機(jī)起降 國臺辦斥:玩火
- 立案20件!安徽嚴(yán)查哄抬物價(jià)等價(jià)格違法行為 督促經(jīng)
- 陜西消保委發(fā)出“五一”消費(fèi)提示 按需購買防浪費(fèi)理
- 山東菏澤鄆城縣市場監(jiān)管局開展兒童用品專項(xiàng)執(zhí)法檢查
- 呼和浩特市托縣扎實(shí)推進(jìn)食品安全社會(huì)建設(shè) 解決人民
- 浙江溫州出臺助推市場主體穩(wěn)進(jìn)提質(zhì)20條措施 持續(xù)優(yōu)
- 浙江舟山高新區(qū)實(shí)現(xiàn)食品生產(chǎn)企業(yè)“浙食鏈”“陽光工
- 湖北十堰市場監(jiān)管局開展小餐飲規(guī)范提升治理工作 具
- 上海全面加強(qiáng)疫情期間食安監(jiān)管 確保保供生活物資質(zhì)
- 杭州臨平區(qū):創(chuàng)建市場疫情防控“三色”預(yù)警分類管理
- 河北保定市場監(jiān)管局創(chuàng)新應(yīng)用信用分級分類監(jiān)管 提高
- 1 立案20件!安徽嚴(yán)查哄抬物價(jià)等價(jià)格違法行為 督促經(jīng)
- 2 陜西消保委發(fā)出“五一”消費(fèi)提示 按需購買防浪費(fèi)理
- 3 養(yǎng)元飲品一季度凈利潤下降 今年上市公司買理財(cái)規(guī)模
- 4 失守3000點(diǎn)!滬指重挫逾5%創(chuàng)兩年來最大單日跌幅 兩
- 5 一季度西安市地區(qū)生產(chǎn)總值同比增2.8% 第一產(chǎn)業(yè)增加
- 6 今年以來露營活動(dòng)火爆“出圈” 露營從專業(yè)小眾走向
- 7 香港47人被控"串謀顛覆國家政權(quán)罪" 法官首次披露:
- 8 日本沖繩水壩發(fā)現(xiàn)千余枚啞彈 皆為美國制造
- 9 中新網(wǎng)評:“動(dòng)態(tài)清零”就是不放棄任何一個(gè)群體
- 10 國臺辦:在滬臺商臺企踴躍捐款捐物 捐贈(zèng)物資及現(xiàn)金