社区编辑申请
注册/登录
恶意软件伪装成系统更新,通杀Win Mac Linux三大系统
新闻 应用安全
能同时攻击Windows、Mac、Linux三大操作系统的恶意软件出现了。虽然“全平台通杀”病毒并不常见,但是安全公司Intezer的研究人员发现,有家教育公司在上个月中了招。

 本文经AI新媒体量子位(公众号ID:QbitAI)授权转载,转载请联系出处。

能同时攻击Windows、Mac、Linux三大操作系统的恶意软件出现了。

虽然“全平台通杀”病毒并不常见,但是安全公司Intezer的研究人员发现,有家教育公司在上个月中了招。

更可怕的是,他们通过分析域名和病毒库发现,这个恶意软件已经存在半年之久,只是直到最近才被检测到。

他们把这个恶意软件命名为SysJoker

SysJoker核心部分是后缀名为“.ts”的TypeScript文件,一旦感染就能被远程控制,方便黑客进一步后续攻击,比如植入勒索病毒。

SysJoker用C++编写,每个变体都是为目标操作系统量身定制,之前在57个不同反病毒检测引擎上都未被检测到。

恶意软件伪装成系统更新,通杀Win Mac Linux三大系统

那么SysJoker到底是如何通杀三大系统的?

SysJoker的感染步骤

SysJoker在三种操作系统中的行为类似,下面将以Windows为例展示SysJoker的行为。

首先,SysJoker会伪装成系统更新。

一旦用户将其误认为更新文件开始运行,它就会随机睡眠90到120秒,然后在C:\ProgramData\SystemData\目录下复制自己,并改名为igfxCUIService.exe,伪装成英特尔图形通用用户界面服务。

接下来,它使用Live off the Land(LOtL)命令收集有关机器的信息,包括MAC地址、用户名、物理媒体序列号和IP地址等。

SysJoker使用不同的临时文本文件来记录命令的结果。这些文本文件会立即删除,存储在JSON对象中,然后编码并写入名为microsoft_windows.dll的文件。

恶意软件伪装成系统更新,通杀Win Mac Linux三大系统

此外,SysJoker收集之后软件向注册表添加键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run保证其持久存在。

在上述每个步骤之间,恶意软件都会随机睡眠,防止被检测到。

接下来,SysJoker将开始建立远程控制(C2)通信。

方式是通过下载从Google Drive托管的文本文件,来生成远程控制。

恶意软件伪装成系统更新,通杀Win Mac Linux三大系统

Google Drive链接指向一个名为“domain.txt”的文本文件,这是以编码形式保存的远程控制文件。

在Windows系统上,一旦感染完成,SysJoker就可以远程运行包括“exe”、“cmd”、“remove_reg”在内的可执行文件。

恶意软件伪装成系统更新,通杀Win Mac Linux三大系统

而且研究人员在分析期间发现,以上服务器地址更改了三次,表明攻击者处于活动状态,并监控了受感染的机器。

如何查杀SysJoker

尽管SysJoker现在被杀毒软件检测出的概率很低,但发现它的Intezer公司还是提供了一些检测方法。

用户可以使用内存扫描工具检测内存中的SysJoker有效负载,或者使用检测内容在EDR或SIEM中搜索。具体操作方法可以参见Intezer网站。

恶意软件伪装成系统更新,通杀Win Mac Linux三大系统

已经感染的用户也不要害怕,Intezer也提供了手动杀死SysJoker的方法。

用户可以杀死与SysJoker相关的进程,删除相关的注册表键值和与SysJoker相关的所有文件。

Linux和Mac的感染路径不同,用户可以在Intezer查询到这些参数,分析自己的电脑是否被感染。

 

 

责任编辑:张燕妮 来源: 量子位
相关推荐

2022-04-02 20:45:04

Hi3516开发板操作系统鸿蒙

2022-05-09 15:08:56

存储厂商NFV领域华为

2022-05-18 10:58:36

LinuxKali Linux

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-04-14 10:10:59

Nginx开源Linux

2022-05-17 14:03:42

勒索软件远程工作

2022-05-26 07:18:54

Windows 11RTM22H2

2022-05-14 08:05:18

Linux内存管理

2022-04-26 23:42:08

Windows 10微软升级

2022-05-11 15:08:52

驱动开发系统移植

2022-05-13 09:15:21

三层交换机二层交换机VLAN

2022-04-19 14:41:29

Oracle数据库SQL

2022-03-17 11:49:55

恶意软件安全工具钓鱼攻击

2022-05-24 15:55:37

避障小车华为

2022-04-05 11:29:40

Linux安装操作系统

2022-05-24 12:42:24

物联网

2022-05-17 09:19:17

XebianLinuxLinux 发行版

2022-05-19 19:26:33

区块链大数据数据分析

2022-05-17 16:56:33

开发工具前端

2022-05-24 07:51:05

测试模型测试单元测试

同话题下的热门内容

今晨,微软亮出了自己的“野心”六年团队Leader实战秘诀|程序员最重要的八种软技能前端配置化真香~上班又多了60%的摸鱼时间清北稳进Top20!全球AI研究年度排名出炉,中美差距巨大网络安全攻防演练中不能忽视的API风险实时数据湖在字节跳动的实践涨工资的国外大厂更香吗?数字化转型的本质、路径、阶段和挑战,一篇讲明白

编辑推荐

斩获BAT技术专家Offer,他到底经历了什么?支付宝即将下线收款业务:2018年1月1日起正式执行,网友炸锅了!我活着从柬埔寨技术“魔窟”逃出来了…甲骨文云平台全面升级,助力客户稳步上云一文看懂Java收费 附可替换方案!
我收藏的内容
点赞
收藏

51CTO技术栈公众号