新的跨平台“SysJoker”漏洞发现 通杀macOS在内的多个系统

2022-03-15 08:13:43 浏览数 (1)

近期据报道称能同时攻击Windows、Mac、Linux三大操作系统的恶意软件出现了。虽然“全平台通杀”病毒并不常见,但是安全公司Intezer的研究人员发现,有家教育公司在上个月中了招。

更可怕的是,他们通过分析域名和病毒库发现,这个恶意软件已经存在半年之久,只是直到最近才被检测到。他们把这个恶意软件命名为“SysJoker”

据报道,新的"SysJoker"后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。

这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。

安全研究员Patrick Wardle对其macOS变种进行了分析。该代码被发现是一个涵盖英特尔和arm64构建的通用二进制文件,这意味着它可以在Apple Silicon以及带有英特尔芯片的旧Mac上运行。该代码有签名,尽管是临时性的签名。

最初运行时,该软件将自己复制到用户的库中,作为macOS的更新,用于在受感染的系统上持续存在。

运行后,该恶意软件随后试图下载一个文件,形成一个Google Drice账户,并能够下载和运行一个可执行文件,这取决于来自指定控制服务器的命令。其他命令包括解压缩下载的可执行文件,以及改变解压缩的可执行文件的权限以允许其运行。

而Windows下的分析表明,它的操作方式实际上是一样的,即假装是一个更新,联系远程服务器下载一个载荷并接收其他命令,并在目标系统上执行代码。在被研究人员发现后,该后门开始被反病毒引擎标记出来。

至于它的目的,Intezer还没有看到攻击者发送的第二阶段或命令,这表明它有一个非常具体的目的,因此很可能是来自一个"高级行为者"。人们认为其目的是"间谍活动",尽管有可能作为后续阶段进行勒索软件攻击。

SysJoker核心部分是后缀名为“.ts”的TypeScript文件,一旦感染就能被远程控制,方便黑客进一步后续攻击,比如植入勒索病毒。

SysJoker用C 编写,每个变体都是为目标操作系统量身定制,之前在57个不同反病毒检测引擎上都未被检测到。

那么SysJoker到底是如何通杀三大系统的?

SysJoker的感染步骤

SysJoker在三种操作系统中的行为类似,下面将以Windows为例展示SysJoker的行为。

首先,SysJoker会伪装成系统更新,一旦用户将其误认为更新文件开始运行,它就会随机睡眠90到120秒。

然后在C:ProgramDataSystemData目录下复制自己,

并改名为igfxCUIService.exe,伪装成英特尔图形通用用户界面服务。

接下来,它使用Live off the Land(LOtL)命令收集有关机器的信息,包括MAC地址、用户名、物理媒体序列号和IP地址等。

SysJoker使用不同的临时文本文件来记录命令的结果。这些文本文件会立即删除,存储在JSON对象中,然后编码并写入名为Microsoft_windows.dll的文件。

此外,SysJoker收集之后软件向注册表添加键值HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun保证其持久存在。

在上述每个步骤之间,恶意软件都会随机睡眠,防止被检测到。

接下来,SysJoker将开始建立远程控制(C2)通信。

方式是通过下载从Google Drive托管的文本文件,来生成远程控制。

Google Drive链接指向一个名为“domain.txt”的文本文件,这是以编码形式保存的远程控制文件。

在Windows系统上,一旦感染完成,SysJoker就可以远程运行包括“exe”、“cmd”、“remove_reg”在内的可执行文件。

而且研究人员在分析期间发现,以上服务器地址更改了三次,表明攻击者处于活动状态,并监控了受感染的机器。

如何查杀SysJoker

尽管SysJoker现在被杀毒软件检测出的概率很低,但发现它的Intezer公司还是提供了一些检测方法。

用户可以使用内存扫描工具检测内存中的SysJoker有效负载,或者使用检测内容在EDR或SIEM中搜索。具体操作方法可以参见Intezer网站。

已经感染的用户也不要害怕,Intezer也提供了手动杀死SysJoker的方法。

用户可以杀死与SysJoker相关的进程,删除相关的注册表键值和与SysJoker相关的所有文件。

Linux和Mac的感染路径不同,用户可以在Intezer查询到这些参数,分析自己的电脑是否被感染。

如何检测SysJoker

Intezer公布了一份系统被攻击的指标清单,包括创建哪些文件和允许代码持续存在的LaunchAgent。

SysJoker创建的文件和目录包括。

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

/Library/LaunchAgents/com.apple.update.plist

持久性代码在LibraryLaunchAgents/com.apple.update.plist这个路径下。

如果在Mac上发现这些文件,建议关闭所有相关进程并删除这些文件。

目前还不清楚用户如何成为SysJoker的受害者。

参考链接:

[1]https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/

[2]https://arstechnica.com/information-technology/2022/01/backdoor-for-windows-macos-and-linux-went-undetected-until-now/

0 人点赞