一種能夠同時攻擊windows、mac和linux三大操作系統的惡意軟件已經出現。盡管“全平臺通殺”病毒并不常見,但安全公司intezer的研究人員發現,有一家教育公司上個月遭到了攻擊。
更令人擔憂的是,通過分析域名和病毒庫,研究人員發現這種惡意軟件已經存在了半年之久,直到最近才被檢測出來。
這種惡意軟件被命名為SysJoker。
通殺Win Mac linux三大系統,惡意軟件偽裝成系統更新,隱藏半年才被發現_安全 SysJoker的核心部分是后綴名為“.ts”的typescript文件,一旦感染后就能被遠程控制,方便黑客進行進一步的攻擊,比如植入勒索病毒。
SysJoker使用c++編寫,每個變體都是為目標操作系統量身定制的,之前在57個不同的反病毒檢測引擎上都未被檢測到。
通殺Win Mac Linux三大系統,惡意軟件偽裝成系統更新,隱藏半年才被發現_安全_02 SysJoker如何攻擊三大系統?
SysJoker在三種操作系統上的行為相似,以下以windows為例說明SysJoker的攻擊過程。
首先,SysJoker會偽裝成系統更新。
當用戶誤將它視為更新文件并運行時,它會隨機休眠90到120秒,然后在C:ProgramDataSystemData目錄下復制自身,并改名為igfxCUIService.exe,偽裝成英特爾圖形通用用戶界面服務。
隨后,它使用Live off the Land(LOtL)命令收集關于機器的信息,包括MAC地址、用戶名、物理媒體序列號和IP地址等。
SysJoker使用不同的臨時文本文件來記錄命令的結果。這些文本文件會立即刪除,存儲在json對象中,然后編碼并寫入名為microsoft_windows.dll的文件。
通殺Win Mac Linux三大系統,惡意軟件偽裝成系統更新,隱藏半年才被發現_linux_03
通殺Win Mac Linux三大系統,惡意軟件偽裝成系統更新,隱藏半年才被發現_macos_04 Google Drive鏈接指向一個名為“domain.txt”的文本文件,這是以編碼形式保存的遠程控制文件。
在Windows系統上,一旦感染完成,SysJoker就可以遠程運行包括“exe”、“cmd”、“remove_reg”在內的可執行文件。
通殺Win Mac Linux三大系統,惡意軟件偽裝成系統更新,隱藏半年才被發現_linux_05 而且研究人員在分析期間發現,以上服務器地址更改了三次,這表明攻擊者處于活動狀態,并監控了受感染的機器。
如何檢測和清除SysJoker
盡管SysJoker現在被殺毒軟件檢測的概率很低,但發現它的Intezer公司還是提供了一些檢測方法。
用戶可以使用內存掃描工具檢測內存中的SysJoker有效負載,或者在EDR或SIEM中使用檢測內容進行搜索。具體操作方法可以參考Intezer網站。
通殺Win Mac Linux三大系統,惡意軟件偽裝成系統更新,隱藏半年才被發現_linux_06 對于已經感染的用戶,Intezer也提供了手動清除SysJoker的方法。
用戶可以終止與SysJoker相關的進程,刪除相關的注冊表鍵值和所有與SysJoker相關的文件。
Linux和Mac的感染路徑有所不同,用戶可以在Intezer查詢這些參數,分析自己的電腦是否被感染。
