整理 | 鄭麗媛
出品 | CSDN(ID:CSDNnews)
遊戲中,“Triple Kill”通常意為“三殺”,即玩家在較短時間內連續消滅 3 個敵人的一種遊戲表現。
而近來,網路安全公司 Intezer 發現的一款後門惡意軟體也實現了“Triple Kill”:同時攻擊 Windows、macOS 和 Linux 三大作業系統,且幾乎所有惡意軟體掃描引擎都無法檢測到它。
安然無恙地“藏”了半年
Intezer 將這個後門惡意軟體命名為 SysJoker,由 C++ 編寫,於 2021 年 12 月在一家教育機構基於 Linux 的 Web 伺服器上主動攻擊時才被首次發現——根據線上查毒網站 VirusTotal 發現的 C2(即 Command and Control,命令及控制)域名註冊和樣本,Intezer 推測早在 2021 年下半年 SysJoker 就已發起攻擊,只是一直“藏”得很好。
不僅 Linux,Intezer 發現 SysJoker 還有 Mach-O 和 Windows PE 版本,甚至每個版本都針對特定作業系統進行了“量身定製”,在 VirusTotal 上經 57 個不同反病毒掃描引擎檢測都沒有發現它的存在。
對此,Intezer 將 SysJoker 定義為“針對 Windows、macOS 和 Linux 的新多平臺後門”。
隱秘的入侵過程
據分析,SysJoker 入侵三大系統用的都是一個套路,為方便詳細講解該惡意軟體的入侵過程,Intezer 以 Windows 為例。
首先,為獲取使用者信任,SysJoker 會偽裝成系統更新的一部分。一旦 SysJoker 程式被執行,它會隨機休眠 90-120 秒,然後建立 C:\ProgramData\SystemData\ 目錄,隨後將自身複製至該目錄並偽裝成 igfxCUIService.exe,即英特爾圖形通用使用者介面服務。
然後,SysJoker 就會透過離地攻擊(Living off the Land,即LOtL)來收集 MAC 地址、使用者名稱、物理序列號和 IP 地址等裝置資訊,並使用不同的臨時文字檔案來記錄命令結果。完成使命後,這些文字檔案會立即刪除,儲存在 JSON 物件中,編碼並寫入名為 microsoft_windows.dll 的檔案中。
SysJoker 在記憶體中構建的 JSON 物件
為確保惡意行為持續不斷,SysJoker 還會向登錄檔新增鍵值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。不僅如此,SysJoker 的“反偵察”意識也很強——上述所有步驟之間,SysJoker 都會隨機休眠一段時間以防被發現。
在以上工作完成後,SysJoker 便會開始建立 C2 通訊,透過解碼從託管在 Google Drive 上的文字檔案中檢索到的字串來生成其 C2。Google Drive 連結託管一個名為 domain.txt 的文字檔案,該檔案包含一個編碼的 C2,SysJoker 將使用 CyberChef 解碼 C2,並將收集到的使用者資訊傳送到 C2 的 /api/attach 目錄作為第一次握手。
(更多細節可參見:https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/)
據 Intezer 研究人員發現,C2 更改了 3 次,這意味著攻擊者處於活動狀態並正在監視受感染的裝置。
入侵完成後,SysJoker 可以從 C2 中接收包括 exe、cmd、 remove_reg 和 exit 在內的可執行檔案(Intezer 補充道,當前版本中沒能實現 remove_reg 和 exit。根據指令名稱,Intezer 推測 remove_reg 和 exit 應該負責的是惡意軟體的自我刪除)。
SysJoker 與 C2 之間的通訊流程
最後,透過對 SysJoker 的種種細節分析,Intezer 發現該惡意軟體很不尋常:
- 程式碼是從頭開始編寫的,這在其他攻擊中從未見過。最重要的是,通常在實時攻擊中,很少有以前不曾發現的 Linux 惡意軟體。
- 攻擊者註冊了至少 4 個不同的域,併為三種不同的作業系統從頭開始編寫惡意軟體。
- 整個分析過程中,沒有發現攻擊者傳送的第二階段命令,這表明攻擊是特定的。
由此,Intezer 推斷 SysJoker 的背後應是高階攻擊者,且根據其功能,未來很可能用於間諜活動、橫向移動或勒索軟體攻擊。
如何檢測並解決?
雖然該惡意軟體的檢測目前還比較艱難,但 Intezer 還是給出了一些有效的檢測方法:用記憶體掃描器檢測記憶體中的 SysJoker 有效載荷,或利用檢測內容在 EDR 或 SIEM 中進行搜尋。
如果發現系統已被入侵,可執行以下步驟:
1、殺死與 SysJoker 相關的程序,刪除相關的持久化機制,以及所有與 SysJoker 相關的檔案;
2、執行記憶體掃描程式,確保被入侵的裝置已安全;
3、調查惡意軟體的初始入口點。
參考連結:https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
《新程式設計師003》正式上市,50餘位技術專家共同創作,雲原生和數字化的開發者們的一本技術精選圖書。內容既有發展趨勢及方法論結構,華為、阿里、位元組跳動、網易、快手、微軟、亞馬遜、英特爾、西門子、施耐德等30多家知名公司雲原生和數字化一手實戰經驗!
