通殺三平臺(tái)的惡意軟件丨大東話安全

一、 小白劇場(chǎng)

小白：東哥，安全人又要開(kāi)始新的一年的打工了。

大東：不知道今年有哪些安全事件可以刷新歷史，也具備新年新氣象。

小白：我希望安全防護(hù)人員技術(shù)可以突破，但是不要造成什么損失，尤其是什么勒索軟件，電腦的資料可是很重要的。

大東：除了勒索軟件，惡意軟件、撞庫(kù)等也可以造成資料的泄露，我們個(gè)人使用者平時(shí)一定注意備份、及時(shí)更新、小心踩雷。

小白：嗯嗯，沒(méi)錯(cuò)。不過(guò)我感覺(jué)安全界攻擊和防護(hù)其實(shí)是相輔相成的，新的攻擊出現(xiàn)，然后就有了新的防護(hù)措施，再根據(jù)此防護(hù)措施找到新的漏洞，就是這樣迭代往復(fù)技術(shù)才發(fā)展的。

大東：是的，不過(guò)魔高一尺，道高一丈，也不用太擔(dān)心了。

小白：今年才開(kāi)始，我就看到一個(gè)新聞，說(shuō)是出現(xiàn)了通殺三平臺(tái)的惡意軟件，三平臺(tái)就是windows、linux和mac os，感覺(jué)還蠻厲害的。東哥你有沒(méi)有了解過(guò)這個(gè)軟件？

大東：我也關(guān)注了這個(gè)事件，而且還小小地了解了一下。

小白：東哥你太謙虛了，我知道你肯定了解得蠻多的，給我講一講吧。

大東：那就簡(jiǎn)單說(shuō)一下吧，有些地方可能還需要你再查一查。

小白：好的好的。

大東：那我們就先從這個(gè)軟件的發(fā)現(xiàn)過(guò)程說(shuō)起吧。

小白：好的好的，搬來(lái)我的小板凳。

二、 話說(shuō)事件

大東：首先是來(lái)自安全公司 Intezer 的研究人員發(fā)現(xiàn)，有一家從事教育行業(yè)的公司中了病毒。

小白：然后研究人員就開(kāi)始對(duì)病毒進(jìn)行分析，這一分析可不得了。東哥我貧一下，你繼續(xù)。

大東：沒(méi)錯(cuò)，他們確實(shí)是對(duì)此病毒進(jìn)行了分析。首先是對(duì)域名進(jìn)行了分析，并且通過(guò)和病毒庫(kù)的信息進(jìn)行比對(duì)，然后發(fā)現(xiàn)這個(gè)惡意軟件竟然已經(jīng)存活了半年，只不過(guò)是最近才被發(fā)現(xiàn)并且檢測(cè)出來(lái)。

小白：欸，啥情況？

大東：說(shuō)明這個(gè)病毒很狡猾啊，這個(gè)惡意軟件名稱為SysJoker。

（圖片來(lái)源于網(wǎng)絡(luò)）

小白：這個(gè)應(yīng)該是System 和 Joker兩個(gè)單詞組成的名字，很形象嘛。

大東：沒(méi)錯(cuò)，而且這個(gè)病毒十分狡猾且隱匿，之前在高達(dá) 57 個(gè)不同的反病毒檢測(cè)引擎上都未被檢測(cè)到。

（圖片來(lái)源于網(wǎng)絡(luò)）

小白：哇哦，這個(gè)病毒有點(diǎn)厲害哦。

大東：SysJoker 是由 C++ 編寫(xiě)的，而該病毒的每一個(gè)不同的變體都會(huì)特定地針對(duì)目標(biāo)操作系統(tǒng)。這也可能是其不被檢測(cè)到的原因吧。

小白：嗯，今天開(kāi)始學(xué)編程，明日我也能寫(xiě)出這樣的代碼。哈哈哈。那被這個(gè)病毒感染之后會(huì)怎么樣呢？

大東：SysJoker 的核心部分TypeScript 文件，其后綴名為 ".ts" 。SysJoker 一旦感染就可以遠(yuǎn)程控制目標(biāo)，從而方便進(jìn)一步攻擊，比如植入勒索病毒。

小白：哦吼，好可怕。東哥，你能詳細(xì)講一下感染步驟嗎？

大東：好的，別急，嗯嗯。

小白：好嘞。

三、 大話始末

大東：它在三個(gè)平臺(tái)的感染步驟類(lèi)似，我們選取一個(gè)平臺(tái)講解吧，你想聽(tīng)哪個(gè)平臺(tái)呢？

小白：嗯，我使用的是windows平臺(tái)，不如就windows吧。

大東：好的，那就以它為例吧。首先，這個(gè)病毒會(huì)偽裝成windows更新。

小白：有點(diǎn)機(jī)智，畢竟windows天天更新。

大東：沒(méi)錯(cuò)，一旦用戶把該病毒錯(cuò)認(rèn)為更新文件而開(kāi)始運(yùn)行，它就會(huì)隨機(jī)睡眠 90 到 120 秒，然后在 C:\ProgramData\SystemData\ 目錄下復(fù)制自己，并改名為 igfxCUIService.exe，將自己偽裝成英特爾圖形通用用戶界面服務(wù)。

小白：這又是這個(gè)病毒的一個(gè)偽裝之處，將它的界面換了。

大東：沒(méi)錯(cuò)，這樣增加了它的隱蔽性，然后它就開(kāi)始偵探信息了。

小白：可以理解成先收集收集消息嗎？然后再根據(jù)信息實(shí)施下一步計(jì)劃。

大東：沒(méi)錯(cuò)，他會(huì)收集這些信息，包括用戶名、物理媒體序列號(hào)、MAC 地址和 IP 地址等。

小白：使用什么命令進(jìn)行收集呢？

大東：它使用 Live off the Land（LOtL）命令收集被攻擊目標(biāo)的信息。

小白：拿小本本記下，之后我要查查這個(gè)命令。那它收集的信息會(huì)記錄到哪里呢？

大東：該病毒還會(huì)記錄命令的結(jié)果到不同的臨時(shí)文本文件中。而且這些文本文件會(huì)馬上刪除，然后存儲(chǔ)到 JSON 對(duì)象中，編碼并寫(xiě)入名為 microsoft_windows.dll 的文件。

小白：那這一系列的操作過(guò)程如何被監(jiān)測(cè)到了怎么辦？就是系統(tǒng)發(fā)現(xiàn)有不正常的運(yùn)行。

大東：這個(gè)問(wèn)題惡意軟件編寫(xiě)者也考慮到了，在執(zhí)行這些步驟的時(shí)候，會(huì)在程序中添加隨機(jī)休眠的行為，這樣就難以被發(fā)現(xiàn)了。

小白：機(jī)智，我又想到了一個(gè)問(wèn)題，上面存的文件被刪除了怎么辦？

大東：為了避免辛苦收集的信息不被刪除，SysJoker 收集之后軟件向注冊(cè)表添加鍵值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun，這一行為是為了保證病毒的持久性。

小白：每一個(gè)步驟都很?chē)?yán)密呀。

大東：收集到信息之后，此時(shí)惡意軟件就會(huì)傳回信息，與控制端建立通信了。

小白：這就是遠(yuǎn)程控制（C2）通信吧。

大東：沒(méi)錯(cuò)，通過(guò)分析發(fā)現(xiàn)，Google Drive 鏈接指向一個(gè)名為 "domain.txt" 的以編碼形式保存的遠(yuǎn)程控制文本文件。

（圖片來(lái)源于網(wǎng)絡(luò)）

小白：可怕可怕。

大東：在 Windows 系統(tǒng)上，只要感染的過(guò)程完成，SysJoker 就可以遠(yuǎn)程運(yùn)行包括如 "exe"、"cmd"、"remove_reg" 這樣的可執(zhí)行文件。

小白：變成了被控制的一臺(tái)機(jī)器。

大東：在對(duì)病毒的分析過(guò)程中，研究人員發(fā)現(xiàn)其服務(wù)器地址更改了三次，這一現(xiàn)象說(shuō)明攻擊者是時(shí)刻活動(dòng)著的，并且正在監(jiān)控被感染的目標(biāo)。

小白：更害怕了，那我們要怎么查殺此惡意軟件呢？尤其剛才說(shuō)這個(gè)惡意軟件逃掉了很多殺毒軟件的檢測(cè)。

四、 小白內(nèi)心說(shuō)

大東：不要擔(dān)心，發(fā)現(xiàn)該病毒的 Intezer 公司提供了一些檢測(cè)的方法。

小白：什么呢？

大東：我們可以使用內(nèi)存掃描工具檢測(cè)內(nèi)存中的 SysJoker 有效負(fù)載，或者在 EDR 或 SIEM 中搜索被檢測(cè)內(nèi)容。

小白：欸，還是有點(diǎn)不明白啊。

大東：沒(méi)錯(cuò)，我是只給你指出了方法，需要你自己在Intezer官網(wǎng)在查查，自己動(dòng)手查找知識(shí)才學(xué)得更快，還有你剛才說(shuō)得要學(xué)習(xí)的命令，下次我要檢查你是否學(xué)習(xí)了。

小白：唉，雖然東哥你說(shuō)得沒(méi)錯(cuò)，但是一開(kāi)年就有作業(yè)，唉。

大東：嗯？

小白：沒(méi)有意見(jiàn)，保證完成任務(wù)！

大東：而且 Intezer 也發(fā)布了手動(dòng)殺死該病毒的方法。

小白：我想，應(yīng)該要?jiǎng)h除上面提到的注冊(cè)表內(nèi)容吧。

大東：沒(méi)錯(cuò)，首先殺死與 SysJoker 相關(guān)的進(jìn)程，之后刪除與其關(guān)聯(lián)的注冊(cè)表鍵值和與該病毒相關(guān)的所有的文件。

小白：具體的操作我也自行去官網(wǎng)查看，明白了。

大東：小白，你非常的自覺(jué)嘛，值得鼓勵(lì)。

小白：欸，我進(jìn)步了，東哥，你說(shuō)還有什么任務(wù)？

大東：嗯…既然我這次說(shuō)了windows，那么你就查下linux還有mac吧，期待你的成果。

小白：保證完成！下次我會(huì)匯報(bào)的。

參考資料：

1. 惡意軟件偽裝成系統(tǒng)更新，通殺 Win Mac Linux 三大系統(tǒng)，隱藏半年才被發(fā)現(xiàn) https://new.qq.com/omn/20220117/20220117A0CV1J00.html

2. 惡意軟件偽裝成系統(tǒng)更新 https://www.51cto.com/article/699432.html

3. SysJoker惡意軟件病毒

https://blog.csdn.net/Px01Ih8/article/details/122677477

來(lái)源：中國(guó)科學(xué)院信息工程研究所

標(biāo)簽： 惡意軟件 遠(yuǎn)程控制 文本文件 研究人員 這個(gè)軟件