恶意软件伪装成系统更新，通杀Win Mac Linux三大系统

晓发自凹非寺量子位|公众号QbitAI

出现了可以同时攻击Windows、Mac、Linux三大操作系统的恶意软件。 “杀死整个平台”病毒并不常见，但安全公司Intezer的研究人员发现，一家教育公司上个月收到了招募。 更可怕的是，他们通过分析域名和病毒库，发现这个恶意软件已经存在半年多了，直到最近才检测到。 他们把这个恶意软件命名为SysJoker。

SysJoker的核心部分是扩展名为“. ts”的TypeScript文件，一旦感染，将进行远程操作，便于黑客后续攻击。 比如，植入恐吓病毒之类的。 SysJoker用c编写，每个变体都是针对目标操作系统定制的，到目前为止，57个不同的反病毒检测引擎尚未检测到。

那么，SysJoker如何杀死三大系统呢？

SysJoker感染过程SysJoker在三种操作系统上的行为相似。 下面以Windows为例说明SysJoker的动作。 首先，SysJoker伪装系统更新。 当用户误以为更新文件开始运行时，它会随机休眠90~120秒，将自己复制到C:\ProgramData\SystemData\目录中，然后进入igfxcui service.120秒然后，live off the land (使用lotl命令收集有关计算机的信息，包括MAC地址、用户名、物理介质序列号和IP地址。 SysJoker使用不同的临时文本文件来记录命令的结果。 这些文本文件将立即删除并保存在JSON对象中。 然后，对名为microsoft_windows.dll的文件进行编码并写入。

此外，收集SysJoker后，软件会将键值HKEY _ current _ user\software\Microsoft\windows\current version\run添加到注册表中在上述每个步骤期间，恶意软件随机休眠，以避免被检测到。 接下来，SysJoker开始建立远程控制( C2 )通信。 通过从Google Drive下载托管的文本文件来生成远程控件。

Google Drive链接指向名为“domain.txt”的文本文件。 这是以编码格式保存的远程控制文件。 在Windows系统上，感染完成后，SysJoker可以远程执行包含" exe "、" cmd "和" remove_reg "的可执行文件。

此外，在分析过程中，上述服务器地址的三次更改表明攻击者处于活动状态，正在监视被感染的设备。

如何检查SysJoker尽管SysJoker目前被杀毒软件检测到的概率很低，但发现它的Intezer公司提供了几种检测方法。 用户可以使用内存扫描工具检测内存中的SysJoker有效载荷，也可以使用检测内容通过EDR或SIEM进行搜索。 具体操作方法请参考Intezer的网站。

被感染的用户也不要害怕。 Intezer还提供了手动杀死SysJoker的方法。 用户可以杀死与SysJoker相关的进程，也可以删除相关的注册表键值和所有与SysJoker相关的文件。 Linux和Mac的传染途径不同，用户可以在Intezer中调查这些参数，分析自己的电脑是否被感染。

参考链接： [1] https://www.int ezer.com/blog/malware-analysis/new-back door-sys joker/[2] https://ars technica.com/com

• 上一篇：宝可梦剑攻略一周目必抓，精灵宝可梦剑攻略 二周目
• 下一篇：2021年3月游戏大作，2021年游戏圈事件