通殺三平臺的惡意軟件丨大東話安全

一、 小白劇場

小白：東哥，安全人又要開始新的一年的打工了。

大東：不知道今年有哪些安全事件可以刷新歷史，也具備新年新氣象。

小白：我希望安全防護人員技術(shù)可以突破，但是不要造成什么損失，尤其是什么勒索軟件，電腦的資料可是很重要的。

大東：除了勒索軟件，惡意軟件、撞庫等也可以造成資料的泄露，我們個人使用者平時一定注意備份、及時更新、小心踩雷。

小白：嗯嗯，沒錯。不過我感覺安全界攻擊和防護其實是相輔相成的，新的攻擊出現(xiàn)，然后就有了新的防護措施，再根據(jù)此防護措施找到新的漏洞，就是這樣迭代往復(fù)技術(shù)才發(fā)展的。

大東：是的，不過魔高一尺，道高一丈，也不用太擔(dān)心了。

小白：今年才開始，我就看到一個新聞，說是出現(xiàn)了通殺三平臺的惡意軟件，三平臺就是windows、linux和mac os，感覺還蠻厲害的。東哥你有沒有了解過這個軟件？

大東：我也關(guān)注了這個事件，而且還小小地了解了一下。

小白：東哥你太謙虛了，我知道你肯定了解得蠻多的，給我講一講吧。

大東：那就簡單說一下吧，有些地方可能還需要你再查一查。

小白：好的好的。

大東：那我們就先從這個軟件的發(fā)現(xiàn)過程說起吧。

小白：好的好的，搬來我的小板凳。

二、 話說事件

大東：首先是來自安全公司 Intezer 的研究人員發(fā)現(xiàn)，有一家從事教育行業(yè)的公司中了病毒。

小白：然后研究人員就開始對病毒進行分析，這一分析可不得了。東哥我貧一下，你繼續(xù)。

大東：沒錯，他們確實是對此病毒進行了分析。首先是對域名進行了分析，并且通過和病毒庫的信息進行比對，然后發(fā)現(xiàn)這個惡意軟件竟然已經(jīng)存活了半年，只不過是最近才被發(fā)現(xiàn)并且檢測出來。

小白：欸，啥情況？

大東：說明這個病毒很狡猾啊，這個惡意軟件名稱為SysJoker。

（圖片來源于網(wǎng)絡(luò)）

小白：這個應(yīng)該是System 和 Joker兩個單詞組成的名字，很形象嘛。

大東：沒錯，而且這個病毒十分狡猾且隱匿，之前在高達 57 個不同的反病毒檢測引擎上都未被檢測到。

（圖片來源于網(wǎng)絡(luò)）

小白：哇哦，這個病毒有點厲害哦。

大東：SysJoker 是由 C++ 編寫的，而該病毒的每一個不同的變體都會特定地針對目標操作系統(tǒng)。這也可能是其不被檢測到的原因吧。

小白：嗯，今天開始學(xué)編程，明日我也能寫出這樣的代碼。哈哈哈。那被這個病毒感染之后會怎么樣呢？

大東：SysJoker 的核心部分TypeScript 文件，其后綴名為 ".ts" 。SysJoker 一旦感染就可以遠程控制目標，從而方便進一步攻擊，比如植入勒索病毒。

小白：哦吼，好可怕。東哥，你能詳細講一下感染步驟嗎？

大東：好的，別急，嗯嗯。

小白：好嘞。

三、 大話始末

大東：它在三個平臺的感染步驟類似，我們選取一個平臺講解吧，你想聽哪個平臺呢？

小白：嗯，我使用的是windows平臺，不如就windows吧。

大東：好的，那就以它為例吧。首先，這個病毒會偽裝成windows更新。

小白：有點機智，畢竟windows天天更新。

大東：沒錯，一旦用戶把該病毒錯認為更新文件而開始運行，它就會隨機睡眠 90 到 120 秒，然后在 C:\ProgramData\SystemData\ 目錄下復(fù)制自己，并改名為 igfxCUIService.exe，將自己偽裝成英特爾圖形通用用戶界面服務(wù)。

小白：這又是這個病毒的一個偽裝之處，將它的界面換了。

大東：沒錯，這樣增加了它的隱蔽性，然后它就開始偵探信息了。

小白：可以理解成先收集收集消息嗎？然后再根據(jù)信息實施下一步計劃。

大東：沒錯，他會收集這些信息，包括用戶名、物理媒體序列號、MAC 地址和 IP 地址等。

小白：使用什么命令進行收集呢？

大東：它使用 Live off the Land（LOtL）命令收集被攻擊目標的信息。

小白：拿小本本記下，之后我要查查這個命令。那它收集的信息會記錄到哪里呢？

大東：該病毒還會記錄命令的結(jié)果到不同的臨時文本文件中。而且這些文本文件會馬上刪除，然后存儲到 JSON 對象中，編碼并寫入名為 microsoft_windows.dll 的文件。

小白：那這一系列的操作過程如何被監(jiān)測到了怎么辦？就是系統(tǒng)發(fā)現(xiàn)有不正常的運行。

大東：這個問題惡意軟件編寫者也考慮到了，在執(zhí)行這些步驟的時候，會在程序中添加隨機休眠的行為，這樣就難以被發(fā)現(xiàn)了。

小白：機智，我又想到了一個問題，上面存的文件被刪除了怎么辦？

大東：為了避免辛苦收集的信息不被刪除，SysJoker 收集之后軟件向注冊表添加鍵值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun，這一行為是為了保證病毒的持久性。

小白：每一個步驟都很嚴密呀。

大東：收集到信息之后，此時惡意軟件就會傳回信息，與控制端建立通信了。

小白：這就是遠程控制（C2）通信吧。

大東：沒錯，通過分析發(fā)現(xiàn)，Google Drive 鏈接指向一個名為 "domain.txt" 的以編碼形式保存的遠程控制文本文件。

（圖片來源于網(wǎng)絡(luò)）

小白：可怕可怕。

大東：在 Windows 系統(tǒng)上，只要感染的過程完成，SysJoker 就可以遠程運行包括如 "exe"、"cmd"、"remove_reg" 這樣的可執(zhí)行文件。

小白：變成了被控制的一臺機器。

大東：在對病毒的分析過程中，研究人員發(fā)現(xiàn)其服務(wù)器地址更改了三次，這一現(xiàn)象說明攻擊者是時刻活動著的，并且正在監(jiān)控被感染的目標。

小白：更害怕了，那我們要怎么查殺此惡意軟件呢？尤其剛才說這個惡意軟件逃掉了很多殺毒軟件的檢測。

四、 小白內(nèi)心說

大東：不要擔(dān)心，發(fā)現(xiàn)該病毒的 Intezer 公司提供了一些檢測的方法。

小白：什么呢？

大東：我們可以使用內(nèi)存掃描工具檢測內(nèi)存中的 SysJoker 有效負載，或者在 EDR 或 SIEM 中搜索被檢測內(nèi)容。

小白：欸，還是有點不明白啊。

大東：沒錯，我是只給你指出了方法，需要你自己在Intezer官網(wǎng)在查查，自己動手查找知識才學(xué)得更快，還有你剛才說得要學(xué)習(xí)的命令，下次我要檢查你是否學(xué)習(xí)了。

小白：唉，雖然東哥你說得沒錯，但是一開年就有作業(yè)，唉。

大東：嗯？

小白：沒有意見，保證完成任務(wù)！

大東：而且 Intezer 也發(fā)布了手動殺死該病毒的方法。

小白：我想，應(yīng)該要刪除上面提到的注冊表內(nèi)容吧。

大東：沒錯，首先殺死與 SysJoker 相關(guān)的進程，之后刪除與其關(guān)聯(lián)的注冊表鍵值和與該病毒相關(guān)的所有的文件。

小白：具體的操作我也自行去官網(wǎng)查看，明白了。

大東：小白，你非常的自覺嘛，值得鼓勵。

小白：欸，我進步了，東哥，你說還有什么任務(wù)？

大東：嗯…既然我這次說了windows，那么你就查下linux還有mac吧，期待你的成果。

小白：保證完成！下次我會匯報的。

參考資料：

1. 惡意軟件偽裝成系統(tǒng)更新，通殺 Win Mac Linux 三大系統(tǒng)，隱藏半年才被發(fā)現(xiàn) https://new.qq.com/omn/20220117/20220117A0CV1J00.html

2. 惡意軟件偽裝成系統(tǒng)更新 https://www.51cto.com/article/699432.html

3. SysJoker惡意軟件病毒

https://blog.csdn.net/Px01Ih8/article/details/122677477

來源：中國科學(xué)院信息工程研究所

標簽： 惡意軟件 遠程控制 文本文件 研究人員 這個軟件