您的位置:首頁 >產(chǎn)經(jīng) >

通殺三平臺的惡意軟件丨大東話安全

2022-03-19 23:02:36 來源:瀟湘晨報

一、 小白劇場

小白:東哥,安全人又要開始新的一年的打工了。

大東:不知道今年有哪些安全事件可以刷新歷史,也具備新年新氣象。

小白:我希望安全防護人員技術可以突破,但是不要造成什么損失,尤其是什么勒索軟件,電腦的資料可是很重要的。

大東:除了勒索軟件,惡意軟件、撞庫等也可以造成資料的泄露,我們個人使用者平時一定注意備份、及時更新、小心踩雷。

小白:嗯嗯,沒錯。不過我感覺安全界攻擊和防護其實是相輔相成的,新的攻擊出現(xiàn),然后就有了新的防護措施,再根據(jù)此防護措施找到新的漏洞,就是這樣迭代往復技術才發(fā)展的。

大東:是的,不過魔高一尺,道高一丈,也不用太擔心了。

小白:今年才開始,我就看到一個新聞,說是出現(xiàn)了通殺三平臺的惡意軟件,三平臺就是windows、linux和mac os,感覺還蠻厲害的。東哥你有沒有了解過這個軟件?

大東:我也關注了這個事件,而且還小小地了解了一下。

小白:東哥你太謙虛了,我知道你肯定了解得蠻多的,給我講一講吧。

大東:那就簡單說一下吧,有些地方可能還需要你再查一查。

小白:好的好的。

大東:那我們就先從這個軟件的發(fā)現(xiàn)過程說起吧。

小白:好的好的,搬來我的小板凳。

二、 話說事件

大東:首先是來自安全公司 Intezer 的研究人員發(fā)現(xiàn),有一家從事教育行業(yè)的公司中了病毒。

小白:然后研究人員就開始對病毒進行分析,這一分析可不得了。東哥我貧一下,你繼續(xù)。

大東:沒錯,他們確實是對此病毒進行了分析。首先是對域名進行了分析,并且通過和病毒庫的信息進行比對,然后發(fā)現(xiàn)這個惡意軟件竟然已經(jīng)存活了半年,只不過是最近才被發(fā)現(xiàn)并且檢測出來。

小白:欸,啥情況?

大東:說明這個病毒很狡猾啊,這個惡意軟件名稱為SysJoker。

(圖片來源于網(wǎng)絡)

小白:這個應該是System 和 Joker兩個單詞組成的名字,很形象嘛。

大東:沒錯,而且這個病毒十分狡猾且隱匿,之前在高達 57 個不同的反病毒檢測引擎上都未被檢測到。

(圖片來源于網(wǎng)絡)

小白:哇哦,這個病毒有點厲害哦。

大東:SysJoker 是由 C++ 編寫的,而該病毒的每一個不同的變體都會特定地針對目標操作系統(tǒng)。這也可能是其不被檢測到的原因吧。

小白:嗯,今天開始學編程,明日我也能寫出這樣的代碼。哈哈哈。那被這個病毒感染之后會怎么樣呢?

大東:SysJoker 的核心部分TypeScript 文件,其后綴名為 ".ts" 。SysJoker 一旦感染就可以遠程控制目標,從而方便進一步攻擊,比如植入勒索病毒。

小白:哦吼,好可怕。東哥,你能詳細講一下感染步驟嗎?

大東:好的,別急,嗯嗯。

小白:好嘞。

三、 大話始末

大東:它在三個平臺的感染步驟類似,我們選取一個平臺講解吧,你想聽哪個平臺呢?

小白:嗯,我使用的是windows平臺,不如就windows吧。

大東:好的,那就以它為例吧。首先,這個病毒會偽裝成windows更新。

小白:有點機智,畢竟windows天天更新。

大東:沒錯,一旦用戶把該病毒錯認為更新文件而開始運行,它就會隨機睡眠 90 到 120 秒,然后在 C:\ProgramData\SystemData\ 目錄下復制自己,并改名為 igfxCUIService.exe,將自己偽裝成英特爾圖形通用用戶界面服務。

小白:這又是這個病毒的一個偽裝之處,將它的界面換了。

大東:沒錯,這樣增加了它的隱蔽性,然后它就開始偵探信息了。

小白:可以理解成先收集收集消息嗎?然后再根據(jù)信息實施下一步計劃。

大東:沒錯,他會收集這些信息,包括用戶名、物理媒體序列號、MAC 地址和 IP 地址等。

小白:使用什么命令進行收集呢?

大東:它使用 Live off the Land(LOtL)命令收集被攻擊目標的信息。

小白:拿小本本記下,之后我要查查這個命令。那它收集的信息會記錄到哪里呢?

大東:該病毒還會記錄命令的結(jié)果到不同的臨時文本文件中。而且這些文本文件會馬上刪除,然后存儲到 JSON 對象中,編碼并寫入名為 microsoft_windows.dll 的文件。

小白:那這一系列的操作過程如何被監(jiān)測到了怎么辦?就是系統(tǒng)發(fā)現(xiàn)有不正常的運行。

大東:這個問題惡意軟件編寫者也考慮到了,在執(zhí)行這些步驟的時候,會在程序中添加隨機休眠的行為,這樣就難以被發(fā)現(xiàn)了。

小白:機智,我又想到了一個問題,上面存的文件被刪除了怎么辦?

大東:為了避免辛苦收集的信息不被刪除,SysJoker 收集之后軟件向注冊表添加鍵值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,這一行為是為了保證病毒的持久性。

小白:每一個步驟都很嚴密呀。

大東:收集到信息之后,此時惡意軟件就會傳回信息,與控制端建立通信了。

小白:這就是遠程控制(C2)通信吧。

大東:沒錯,通過分析發(fā)現(xiàn),Google Drive 鏈接指向一個名為 "domain.txt" 的以編碼形式保存的遠程控制文本文件。

(圖片來源于網(wǎng)絡)

小白:可怕可怕。

大東:在 Windows 系統(tǒng)上,只要感染的過程完成,SysJoker 就可以遠程運行包括如 "exe"、"cmd"、"remove_reg" 這樣的可執(zhí)行文件。

小白:變成了被控制的一臺機器。

大東:在對病毒的分析過程中,研究人員發(fā)現(xiàn)其服務器地址更改了三次,這一現(xiàn)象說明攻擊者是時刻活動著的,并且正在監(jiān)控被感染的目標。

小白:更害怕了,那我們要怎么查殺此惡意軟件呢?尤其剛才說這個惡意軟件逃掉了很多殺毒軟件的檢測。

四、 小白內(nèi)心說

大東:不要擔心,發(fā)現(xiàn)該病毒的 Intezer 公司提供了一些檢測的方法。

小白:什么呢?

大東:我們可以使用內(nèi)存掃描工具檢測內(nèi)存中的 SysJoker 有效負載,或者在 EDR 或 SIEM 中搜索被檢測內(nèi)容。

小白:欸,還是有點不明白啊。

大東:沒錯,我是只給你指出了方法,需要你自己在Intezer官網(wǎng)在查查,自己動手查找知識才學得更快,還有你剛才說得要學習的命令,下次我要檢查你是否學習了。

小白:唉,雖然東哥你說得沒錯,但是一開年就有作業(yè),唉。

大東:嗯?

小白:沒有意見,保證完成任務!

大東:而且 Intezer 也發(fā)布了手動殺死該病毒的方法。

小白:我想,應該要刪除上面提到的注冊表內(nèi)容吧。

大東:沒錯,首先殺死與 SysJoker 相關的進程,之后刪除與其關聯(lián)的注冊表鍵值和與該病毒相關的所有的文件。

小白:具體的操作我也自行去官網(wǎng)查看,明白了。

大東:小白,你非常的自覺嘛,值得鼓勵。

小白:欸,我進步了,東哥,你說還有什么任務?

大東:嗯…既然我這次說了windows,那么你就查下linux還有mac吧,期待你的成果。

小白:保證完成!下次我會匯報的。

參考資料:

1. 惡意軟件偽裝成系統(tǒng)更新,通殺 Win Mac Linux 三大系統(tǒng),隱藏半年才被發(fā)現(xiàn) https://new.qq.com/omn/20220117/20220117A0CV1J00.html

2. 惡意軟件偽裝成系統(tǒng)更新 https://www.51cto.com/article/699432.html

3. SysJoker惡意軟件病毒

https://blog.csdn.net/Px01Ih8/article/details/122677477

來源:中國科學院信息工程研究所

標簽: 惡意軟件 遠程控制 文本文件 研究人員 這個軟件