可同时攻击Windows、Mac、Linux三大操作系统的恶意软件应运而生。虽然“杀死所有平台”病毒并不常见,但安全公司Intezer的研究人员发现,上个月有一家教育公司被抓获。更可怕的是,他们通过分析域名和病毒库发现,这个恶意软件已经存在了半年之久,但直到最近才被发现。他们将此恶意软件命名为SysJoker。SysJoker的核心部分是一个后缀为“.ts”的TypeScript文件。一旦被感染,可以远程控制,方便黑客进行进一步的攻击,比如植入勒索软件。SysJoker是用C++编写的,每个变体都是为目标操作系统量身定制的,并且之前未被57种不同的反病毒检测引擎检测到。那么SysJoker是如何干掉三大系统的呢?SysJoker的感染步骤SysJoker在三个操作系统中的行为相似。下面将以Windows为例展示SysJoker的行为。首先,SysJoker伪装成系统更新。一旦用户误认为是更新文件开始运行,它会随机休眠90到120秒,然后在C:\ProgramData\SystemData\目录下复制自己并重命名为igfxCUIService.exe,伪装成Intel显卡普通用户接口服务。接下来,它使用LiveofftheLand(LOtL)命令收集有关机器的信息,包括MAC地址、用户名、物理媒体序列号和IP地址等。SysJoker使用各种临时文本文件来记录命令的结果。这些文本文件会立即被删除,存储在一个JSON对象中,然后进行编码并写入一个名为microsoft_windows.dll的文件。另外,SysJoker被收集后,软件会在注册表中添加键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,以确保其持久存在。在上述每个步骤之间,恶意软件随机休眠以防止检测。接下来,SysJoker将开始建立遥控(C2)通信。该方法是通过下载从GoogleDrive托管的文本文件来生成远程控制。GoogleDrive链接指向一个名为“domain.txt”的文本文件,这是以编码形式保存的远程控制文件。在Windows系统上,一旦感染完成,SysJoker可以远程运行可执行文件,包括“exe”、“cmd”、“remove_reg”。并且在分析过程中,研究人员发现上述服务器地址发生了3次变化,表明攻击者处于活跃状态并监控着被感染的机器。如何查杀SysJoker虽然SysJoker被杀毒软件检测到的概率很低,但是发现它的Intezer还是提供了一些检测方法。用户可以使用内存扫描工具检测内存中的SysJokerpayload,或者使用检测内容在EDR或SIEM中搜索。具体操作方法请参考Intezer官网。已经被感染的用户不要害怕,Intezer也提供了手动杀掉SysJoker的方法。用户可以杀掉SysJoker相关进程,删除相关注册表项和所有与SysJoker相关的文件。Linux和Mac的感染路径不同。用户可以在Intezer中查询这些参数来分析自己的电脑是否被感染。
