一、 小白劇場
小白:東哥,安全人又要開始新的一年的打工了。
大東:不知道今年有哪些安全事件可以刷新歷史,也具備新年新氣象。
小白:我希望安全防護人員技術(shù)可以突破,但是不要造成什么損失,尤其是什么勒索軟件,電腦的資料可是很重要的。
大東:除了勒索軟件,惡意軟件、撞庫等也可以造成資料的泄露,我們個人使用者平時一定注意備份、及時更新、小心踩雷。
小白:嗯嗯,沒錯。不過我感覺安全界攻擊和防護其實是相輔相成的,新的攻擊出現(xiàn),然后就有了新的防護措施,再根據(jù)此防護措施找到新的漏洞,就是這樣迭代往復技術(shù)才發(fā)展的。
大東:是的,不過魔高一尺,道高一丈,也不用太擔心了。
小白:今年才開始,我就看到一個新聞,說是出現(xiàn)了通殺三平臺的惡意軟件,三平臺就是windows、linux和mac os,感覺還蠻厲害的。東哥你有沒有了解過這個軟件?
大東:我也關(guān)注了這個事件,而且還小小地了解了一下。
小白:東哥你太謙虛了,我知道你肯定了解得蠻多的,給我講一講吧。
大東:那就簡單說一下吧,有些地方可能還需要你再查一查。
小白:好的好的。
大東:那我們就先從這個軟件的發(fā)現(xiàn)過程說起吧。
小白:好的好的,搬來我的小板凳。
二、 話說事件
大東:首先是來自安全公司 Intezer 的研究人員發(fā)現(xiàn),有一家從事教育行業(yè)的公司中了病毒。
小白:然后研究人員就開始對病毒進行分析,這一分析可不得了。東哥我貧一下,你繼續(xù)。
大東:沒錯,他們確實是對此病毒進行了分析。首先是對域名進行了分析,并且通過和病毒庫的信息進行比對,然后發(fā)現(xiàn)這個惡意軟件竟然已經(jīng)存活了半年,只不過是最近才被發(fā)現(xiàn)并且檢測出來。
小白:欸,啥情況?
大東:說明這個病毒很狡猾啊,這個惡意軟件名稱為SysJoker。
(圖片來源于網(wǎng)絡(luò))
小白:這個應(yīng)該是System 和 Joker兩個單詞組成的名字,很形象嘛。
大東:沒錯,而且這個病毒十分狡猾且隱匿,之前在高達 57 個不同的反病毒檢測引擎上都未被檢測到。
(圖片來源于網(wǎng)絡(luò))
小白:哇哦,這個病毒有點厲害哦。
大東:SysJoker 是由 C++ 編寫的,而該病毒的每一個不同的變體都會特定地針對目標操作系統(tǒng)。這也可能是其不被檢測到的原因吧。
小白:嗯,今天開始學編程,明日我也能寫出這樣的代碼。哈哈哈。那被這個病毒感染之后會怎么樣呢?
大東:SysJoker 的核心部分TypeScript 文件,其后綴名為 ".ts" 。SysJoker 一旦感染就可以遠程控制目標,從而方便進一步攻擊,比如植入勒索病毒。
小白:哦吼,好可怕。東哥,你能詳細講一下感染步驟嗎?
大東:好的,別急,嗯嗯。
小白:好嘞。
三、 大話始末
大東:它在三個平臺的感染步驟類似,我們選取一個平臺講解吧,你想聽哪個平臺呢?
小白:嗯,我使用的是windows平臺,不如就windows吧。
大東:好的,那就以它為例吧。首先,這個病毒會偽裝成windows更新。
小白:有點機智,畢竟windows天天更新。
大東:沒錯,一旦用戶把該病毒錯認為更新文件而開始運行,它就會隨機睡眠 90 到 120 秒,然后在 C:\ProgramData\SystemData\ 目錄下復制自己,并改名為 igfxCUIService.exe,將自己偽裝成英特爾圖形通用用戶界面服務(wù)。
小白:這又是這個病毒的一個偽裝之處,將它的界面換了。
大東:沒錯,這樣增加了它的隱蔽性,然后它就開始偵探信息了。
小白:可以理解成先收集收集消息嗎?然后再根據(jù)信息實施下一步計劃。
大東:沒錯,他會收集這些信息,包括用戶名、物理媒體序列號、MAC 地址和 IP 地址等。
小白:使用什么命令進行收集呢?
大東:它使用 Live off the Land(LOtL)命令收集被攻擊目標的信息。
小白:拿小本本記下,之后我要查查這個命令。那它收集的信息會記錄到哪里呢?
大東:該病毒還會記錄命令的結(jié)果到不同的臨時文本文件中。而且這些文本文件會馬上刪除,然后存儲到 JSON 對象中,編碼并寫入名為 microsoft_windows.dll 的文件。
小白:那這一系列的操作過程如何被監(jiān)測到了怎么辦?就是系統(tǒng)發(fā)現(xiàn)有不正常的運行。
大東:這個問題惡意軟件編寫者也考慮到了,在執(zhí)行這些步驟的時候,會在程序中添加隨機休眠的行為,這樣就難以被發(fā)現(xiàn)了。
小白:機智,我又想到了一個問題,上面存的文件被刪除了怎么辦?
大東:為了避免辛苦收集的信息不被刪除,SysJoker 收集之后軟件向注冊表添加鍵值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,這一行為是為了保證病毒的持久性。
小白:每一個步驟都很嚴密呀。
大東:收集到信息之后,此時惡意軟件就會傳回信息,與控制端建立通信了。
小白:這就是遠程控制(C2)通信吧。
大東:沒錯,通過分析發(fā)現(xiàn),Google Drive 鏈接指向一個名為 "domain.txt" 的以編碼形式保存的遠程控制文本文件。
(圖片來源于網(wǎng)絡(luò))
小白:可怕可怕。
大東:在 Windows 系統(tǒng)上,只要感染的過程完成,SysJoker 就可以遠程運行包括如 "exe"、"cmd"、"remove_reg" 這樣的可執(zhí)行文件。
小白:變成了被控制的一臺機器。
大東:在對病毒的分析過程中,研究人員發(fā)現(xiàn)其服務(wù)器地址更改了三次,這一現(xiàn)象說明攻擊者是時刻活動著的,并且正在監(jiān)控被感染的目標。
小白:更害怕了,那我們要怎么查殺此惡意軟件呢?尤其剛才說這個惡意軟件逃掉了很多殺毒軟件的檢測。
四、 小白內(nèi)心說
大東:不要擔心,發(fā)現(xiàn)該病毒的 Intezer 公司提供了一些檢測的方法。
小白:什么呢?
大東:我們可以使用內(nèi)存掃描工具檢測內(nèi)存中的 SysJoker 有效負載,或者在 EDR 或 SIEM 中搜索被檢測內(nèi)容。
小白:欸,還是有點不明白啊。
大東:沒錯,我是只給你指出了方法,需要你自己在Intezer官網(wǎng)在查查,自己動手查找知識才學得更快,還有你剛才說得要學習的命令,下次我要檢查你是否學習了。
小白:唉,雖然東哥你說得沒錯,但是一開年就有作業(yè),唉。
大東:嗯?
小白:沒有意見,保證完成任務(wù)!
大東:而且 Intezer 也發(fā)布了手動殺死該病毒的方法。
小白:我想,應(yīng)該要刪除上面提到的注冊表內(nèi)容吧。
大東:沒錯,首先殺死與 SysJoker 相關(guān)的進程,之后刪除與其關(guān)聯(lián)的注冊表鍵值和與該病毒相關(guān)的所有的文件。
小白:具體的操作我也自行去官網(wǎng)查看,明白了。
大東:小白,你非常的自覺嘛,值得鼓勵。
小白:欸,我進步了,東哥,你說還有什么任務(wù)?
大東:嗯…既然我這次說了windows,那么你就查下linux還有mac吧,期待你的成果。
小白:保證完成!下次我會匯報的。
參考資料:
1. 惡意軟件偽裝成系統(tǒng)更新,通殺 Win Mac Linux 三大系統(tǒng),隱藏半年才被發(fā)現(xiàn) https://new.qq.com/omn/20220117/20220117A0CV1J00.html
2. 惡意軟件偽裝成系統(tǒng)更新 https://www.51cto.com/article/699432.html
3. SysJoker惡意軟件病毒
https://blog.csdn.net/Px01Ih8/article/details/122677477
來源:中國科學院信息工程研究所