sponsored links

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免

整理 | 鄭麗媛

出品 | CSDN(ID:CSDNnews)

遊戲中,“Triple Kill”通常意為“三殺”,即玩家在較短時間內連續消滅 3 個敵人的一種遊戲表現。

而近來,網路安全公司 Intezer 發現的一款後門惡意軟體也實現了“Triple Kill”:同時攻擊 Windows、macOS 和 Linux 三大作業系統,且幾乎所有惡意軟體掃描引擎都無法檢測到它。

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免
惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免

安然無恙地“藏”了半年

Intezer 將這個後門惡意軟體命名為 SysJoker,由 C++ 編寫,於 2021 年 12 月在一家教育機構基於 Linux 的 Web 伺服器上主動攻擊時才被首次發現——根據線上查毒網站 VirusTotal 發現的 C2(即 Command and Control,命令及控制)域名註冊和樣本,Intezer 推測早在 2021 年下半年 SysJoker 就已發起攻擊,只是一直“藏”得很好。

不僅 Linux,Intezer 發現 SysJoker 還有 Mach-O 和 Windows PE 版本,甚至每個版本都針對特定作業系統進行了“量身定製”,在 VirusTotal 上經 57 個不同反病毒掃描引擎檢測都沒有發現它的存在。

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免


對此,Intezer 將 SysJoker 定義為“針對 Windows、macOS 和 Linux 的新多平臺後門”。

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免

隱秘的入侵過程

據分析,SysJoker 入侵三大系統用的都是一個套路,為方便詳細講解該惡意軟體的入侵過程,Intezer 以 Windows 為例。

首先,為獲取使用者信任,SysJoker 會偽裝成系統更新的一部分。一旦 SysJoker 程式被執行,它會隨機休眠 90-120 秒,然後建立 C:\ProgramData\SystemData\ 目錄,隨後將自身複製至該目錄並偽裝成 igfxCUIService.exe,即英特爾圖形通用使用者介面服務。

然後,SysJoker 就會透過離地攻擊(Living off the Land,即LOtL)來收集 MAC 地址、使用者名稱、物理序列號和 IP 地址等裝置資訊,並使用不同的臨時文字檔案來記錄命令結果。完成使命後,這些文字檔案會立即刪除,儲存在 JSON 物件中,編碼並寫入名為 microsoft_windows.dll 的檔案中。

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免


SysJoker 在記憶體中構建的 JSON 物件

為確保惡意行為持續不斷,SysJoker 還會向登錄檔新增鍵值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。不僅如此,SysJoker 的“反偵察”意識也很強——上述所有步驟之間,SysJoker 都會隨機休眠一段時間以防被發現。

在以上工作完成後,SysJoker 便會開始建立 C2 通訊,透過解碼從託管在 Google Drive 上的文字檔案中檢索到的字串來生成其 C2。Google Drive 連結託管一個名為 domain.txt 的文字檔案,該檔案包含一個編碼的 C2,SysJoker 將使用 CyberChef 解碼 C2,並將收集到的使用者資訊傳送到 C2 的 /api/attach 目錄作為第一次握手。

(更多細節可參見:https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/)

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免


據 Intezer 研究人員發現,C2 更改了 3 次,這意味著攻擊者處於活動狀態並正在監視受感染的裝置。

入侵完成後,SysJoker 可以從 C2 中接收包括 exe、cmd、 remove_reg 和 exit 在內的可執行檔案(Intezer 補充道,當前版本中沒能實現 remove_reg 和 exit。根據指令名稱,Intezer 推測 remove_reg 和 exit 應該負責的是惡意軟體的自我刪除)。

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免


SysJoker 與 C2 之間的通訊流程

最後,透過對 SysJoker 的種種細節分析,Intezer 發現該惡意軟體很不尋常:

  • 程式碼是從頭開始編寫的,這在其他攻擊中從未見過。最重要的是,通常在實時攻擊中,很少有以前不曾發現的 Linux 惡意軟體。
  • 攻擊者註冊了至少 4 個不同的域,併為三種不同的作業系統從頭開始編寫惡意軟體。
  • 整個分析過程中,沒有發現攻擊者傳送的第二階段命令,這表明攻擊是特定的。

由此,Intezer 推斷 SysJoker 的背後應是高階攻擊者,且根據其功能,未來很可能用於間諜活動、橫向移動或勒索軟體攻擊。

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免

如何檢測並解決?

雖然該惡意軟體的檢測目前還比較艱難,但 Intezer 還是給出了一些有效的檢測方法:用記憶體掃描器檢測記憶體中的 SysJoker 有效載荷,或利用檢測內容在 EDR 或 SIEM 中進行搜尋。

如果發現系統已被入侵,可執行以下步驟:

1、殺死與 SysJoker 相關的程序,刪除相關的持久化機制,以及所有與 SysJoker 相關的檔案;

2、執行記憶體掃描程式,確保被入侵的裝置已安全;

3、調查惡意軟體的初始入口點。

參考連結:https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免


《新程式設計師003》正式上市,50餘位技術專家共同創作,雲原生和數字化的開發者們的一本技術精選圖書。內容既有發展趨勢及方法論結構,華為、阿里、位元組跳動、網易、快手、微軟、亞馬遜、英特爾、西門子、施耐德等30多家知名公司雲原生和數字化一手實戰經驗!

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免

惡意軟體實現“三殺”!Windows、macOS 和 Linux 無一倖免
分類: 財經
時間: 2022-01-23

相關文章

世茂集團:公司仍缺200億元按揭額度,將加大房價優惠力度
澎湃財訊 8月30日,世茂集團(00813.HK)釋出2021年中期業績,公司總裁許世壇透露,目前銀行(能提供的)按揭貸款額度比較緊,已經談成的總對總合作的按揭額度接近800多億元,公司實際需求接近1 ...

每經18點|中秋國慶假期約八成A級景區正常開放;節前油價上調 加滿一箱油將多花3.5元;上半年國內旅遊總人次18.71億
每經編輯:袁東 1丨文旅部答每經問:中秋國慶假期約八成A級景區正常開放,須做到遊客資訊可追蹤 每經AI快訊,9月18日,國新辦舉行新聞釋出會,介紹首屆中國(武漢)文化旅遊博覽會有關情況.文化和旅遊部黨 ...

多元亮點紛呈,世茂助力國慶假期消費潛能釋放
中新經緯10月12日電 在經歷了暑期旅遊高開低走後,國慶期間全國文化旅遊消費市場迎來了補償式出遊熱潮.經文化和旅遊部資料中心測算,10月1日至7日,全國國內旅遊出遊5.15億人次,恢復至疫前同期的70 ...

世茂天城145㎡現代簡約,藍色+橙色的清爽色調,滿屋子的生活溫柔

世茂天城145㎡現代簡約,藍色+橙色的清爽色調,滿屋子的生活溫柔
簡潔.清爽的生活環境,能給我們帶來隨性.自在的舒適空間體驗,三房三衛,在南昌,這樣的大三房裝修怎麼裝都很好住.本案屋主是一對中年夫妻,工作忙綠緊湊,對家庭裝修更為關注的是迴歸生活的真實,希望今天的案例 ...

嘉澤新能:擬3.2億元投建100MWp平價複合光伏專案
每經AI快訊,嘉澤新能:擬3.2億元投建100MWp平價複合光伏專案. 每日經濟新聞

崑崙萬維:預計前三季度淨利潤為18.5億-24億元
崑崙萬維集團微信公眾號訊息,10月8日,崑崙萬維披露2021年前三季度業績預告.公司預計2021年前三季度實現歸屬於上市公司股東的淨利潤18.5億元-24億元,實現扣除非經常性損益後的淨利潤16.1億 ...

銀川斯為美裝飾 世茂世悅府丨139㎡幸福愜意現代家

銀川斯為美裝飾 世茂世悅府丨139㎡幸福愜意現代家
房屋位置_世茂世悅府 面積_139㎡ 家居風格_現代風格 前言 世茂世悅府全戶型皆有工地,139㎡戶型已有多家在施工地,與之不同的是,根據業主的需求不同,每個工地都有不一樣的設計. - 戶型圖- ▲平 ...

巨無霸來了!中海油回A最新披露,中信證券11人組保駕!擬募資350億,"三桶油"聚首A股快了?
時隔半月,中海油的A股上市輔導情況終獲披露. 檔案顯示,中信證券在今年5月同中海油簽署了上市輔導協議,對其董監高.持股5%以上股東和實際控制人進行輔導.此前在9月26日,中海油在港交所釋出公告稱,擬申 ...

開盤|望京大平層喜提15億,中海寰宇天下、合生me悅、融御加推

開盤|望京大平層喜提15億,中海寰宇天下、合生me悅、融御加推
三季度業績衝刺在即,京城各家開發商一批次拿地的專案都在拼命搶速度開售樓處示範區.搶進度拿預售證.朝陽區首批10個集中供地專案,目前均已取得規劃證,平均用時80天.東四環王四營地塊的保利錦上,從拿地到開 ...

矽片龍頭SUMCO擬投百億擴產 大尺寸趨勢加速 國內廠商正迎頭追趕
<科創板日報>(上海,研究員 宋子喬)訊,10月1日,日本經濟新聞報道稱,日本矽片製造商SUMCO(勝高)計劃斥資2287億日元(約合134.38億元人民幣)來加快生產先進的300mm(1 ...

紫金礦業(02899)擬49.39億元收購新鋰公司 進一步拓展與新能源相關戰略性礦種
智通財經APP訊,紫金礦業(02899)釋出公告,公司於加拿大多倫多時間2021年10月8日與新鋰公司簽署<安排協議>,公司將透過在加拿大註冊成立的全資子公司,以每股6.5加元的價格,以現 ...

紫金礦業:擬超49億元收購海外新鋰公司
廣州日報訊 (全媒體記者 張露)10日晚,紫金礦業釋出公告稱,公司與加拿大證券交易所上市公司Neo Lithium Corp.(簡稱"新鋰公司")簽署協議,公司將透過在加拿大註冊成 ...

遠洋集團擬64.15億元出售北京CBD一甲級辦公樓專案
新京報訊(記者 饒舒瑋)10月13日晚間,遠洋集團釋出公告,披露有關出售物業控股公司的主要交易等事項.公告顯示,賣方(均為遠洋集團的全資附屬公司)與買方(均為合夥企業的全資投資組合公司)及專案公司訂立 ...

探路者:擬2.6億元收購北京芯能60%股權
每經AI快訊,9月21日,探路者釋出公告,公司與嘉興源陽.廈門曦煜共同收購北京芯能電子科技有限公司(簡稱"北京芯能")80%股權,其中公司以自有資金2.6億元收購北京芯能60%股權 ...

泉峰汽車:擬1.5億元在天津新建工廠
9月23日訊息,泉峰汽車公告,董事會同意天津分公司以不超過1.5億元的總投資額在天津新建工廠等相關事宜,規劃建設期共4個月.

紫金礦業:擬超49億元收購鋰鹽商Neo Lithium
e公司訊,紫金礦業(601899)10日晚公告,公司與加拿大證券交易所上市公司Neo Lithium Corp.(簡稱"新鋰公司")簽署協議,公司將透過在加拿大註冊成立的全資子公司 ...

彭博:小紅書考慮在香港IPO,擬籌資5億-10億美元
彭博10月11日援引知情人士報道稱,中國初創企業小紅書正在考慮在香港進行首次公開募股(IPO),以籌資至少5億美元,最早今年提交香港IPO申請.知情人士說,取決於市場情況,其上市甚至可能籌集高達10億 ...

恆大拋售166億資產,下一步還賣股權!盈利超百億,房地產業務竟虧41億,啥情況?

恆大拋售166億資產,下一步還賣股權!盈利超百億,房地產業務竟虧41億,啥情況?
恆大終於披露了上半年成績單. 8月31日,中國恆大發布半年報,今年上半年實現營業收入2226.9億元,同比下降16.5%:淨利潤104.99億元,同比下降28.87%.其中,房地產開發業務虧損41億元 ...

造車舞臺:同臺不同舞?
10億賭局"立下八年之後,董明珠與雷軍又站上了同一個賽道."10億賭局"立下八年之後,董明珠與雷軍又站上了同一個舞臺.9月1日上午,雷軍在微博曬出了一張17人的合照,宣佈 ...

“全國第二”眼科醫院上市受阻,這位莆田系老闆提前套現超7億

“全國第二”眼科醫院上市受阻,這位莆田系老闆提前套現超7億
圖片來源@視覺中國 文 | 財健道,作者 | 安富建,編輯 | 尹莉娜 規模僅次於愛爾眼科的國內第二大眼科醫院集團--華廈眼科,上市之路歷經5年坎坷,如今又遇新的質疑. 9月9日,華廈眼科收到深交所問 ...