<fieldset id="26ue2"><table id="26ue2"></table></fieldset>
  • <ul id="26ue2"></ul>
  • <center id="26ue2"></center>
    您的位置:首頁 >產經 >

    通殺三平臺的惡意軟件丨大東話安全

    2022-03-19 23:02:36 來源:瀟湘晨報

    一、 小白劇場

    小白:東哥,安全人又要開始新的一年的打工了。

    大東:不知道今年有哪些安全事件可以刷新歷史,也具備新年新氣象。

    小白:我希望安全防護人員技術可以突破,但是不要造成什么損失,尤其是什么勒索軟件,電腦的資料可是很重要的。

    大東:除了勒索軟件,惡意軟件、撞庫等也可以造成資料的泄露,我們個人使用者平時一定注意備份、及時更新、小心踩雷。

    小白:嗯嗯,沒錯。不過我感覺安全界攻擊和防護其實是相輔相成的,新的攻擊出現,然后就有了新的防護措施,再根據此防護措施找到新的漏洞,就是這樣迭代往復技術才發展的。

    大東:是的,不過魔高一尺,道高一丈,也不用太擔心了。

    小白:今年才開始,我就看到一個新聞,說是出現了通殺三平臺的惡意軟件,三平臺就是windows、linux和mac os,感覺還蠻厲害的。東哥你有沒有了解過這個軟件?

    大東:我也關注了這個事件,而且還小小地了解了一下。

    小白:東哥你太謙虛了,我知道你肯定了解得蠻多的,給我講一講吧。

    大東:那就簡單說一下吧,有些地方可能還需要你再查一查。

    小白:好的好的。

    大東:那我們就先從這個軟件的發現過程說起吧。

    小白:好的好的,搬來我的小板凳。

    二、 話說事件

    大東:首先是來自安全公司 Intezer 的研究人員發現,有一家從事教育行業的公司中了病毒。

    小白:然后研究人員就開始對病毒進行分析,這一分析可不得了。東哥我貧一下,你繼續。

    大東:沒錯,他們確實是對此病毒進行了分析。首先是對域名進行了分析,并且通過和病毒庫的信息進行比對,然后發現這個惡意軟件竟然已經存活了半年,只不過是最近才被發現并且檢測出來。

    小白:欸,啥情況?

    大東:說明這個病毒很狡猾啊,這個惡意軟件名稱為SysJoker。

    (圖片來源于網絡)

    小白:這個應該是System 和 Joker兩個單詞組成的名字,很形象嘛。

    大東:沒錯,而且這個病毒十分狡猾且隱匿,之前在高達 57 個不同的反病毒檢測引擎上都未被檢測到。

    (圖片來源于網絡)

    小白:哇哦,這個病毒有點厲害哦。

    大東:SysJoker 是由 C++ 編寫的,而該病毒的每一個不同的變體都會特定地針對目標操作系統。這也可能是其不被檢測到的原因吧。

    小白:嗯,今天開始學編程,明日我也能寫出這樣的代碼。哈哈哈。那被這個病毒感染之后會怎么樣呢?

    大東:SysJoker 的核心部分TypeScript 文件,其后綴名為 ".ts" 。SysJoker 一旦感染就可以遠程控制目標,從而方便進一步攻擊,比如植入勒索病毒。

    小白:哦吼,好可怕。東哥,你能詳細講一下感染步驟嗎?

    大東:好的,別急,嗯嗯。

    小白:好嘞。

    三、 大話始末

    大東:它在三個平臺的感染步驟類似,我們選取一個平臺講解吧,你想聽哪個平臺呢?

    小白:嗯,我使用的是windows平臺,不如就windows吧。

    大東:好的,那就以它為例吧。首先,這個病毒會偽裝成windows更新。

    小白:有點機智,畢竟windows天天更新。

    大東:沒錯,一旦用戶把該病毒錯認為更新文件而開始運行,它就會隨機睡眠 90 到 120 秒,然后在 C:\ProgramData\SystemData\ 目錄下復制自己,并改名為 igfxCUIService.exe,將自己偽裝成英特爾圖形通用用戶界面服務。

    小白:這又是這個病毒的一個偽裝之處,將它的界面換了。

    大東:沒錯,這樣增加了它的隱蔽性,然后它就開始偵探信息了。

    小白:可以理解成先收集收集消息嗎?然后再根據信息實施下一步計劃。

    大東:沒錯,他會收集這些信息,包括用戶名、物理媒體序列號、MAC 地址和 IP 地址等。

    小白:使用什么命令進行收集呢?

    大東:它使用 Live off the Land(LOtL)命令收集被攻擊目標的信息。

    小白:拿小本本記下,之后我要查查這個命令。那它收集的信息會記錄到哪里呢?

    大東:該病毒還會記錄命令的結果到不同的臨時文本文件中。而且這些文本文件會馬上刪除,然后存儲到 JSON 對象中,編碼并寫入名為 microsoft_windows.dll 的文件。

    小白:那這一系列的操作過程如何被監測到了怎么辦?就是系統發現有不正常的運行。

    大東:這個問題惡意軟件編寫者也考慮到了,在執行這些步驟的時候,會在程序中添加隨機休眠的行為,這樣就難以被發現了。

    小白:機智,我又想到了一個問題,上面存的文件被刪除了怎么辦?

    大東:為了避免辛苦收集的信息不被刪除,SysJoker 收集之后軟件向注冊表添加鍵值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,這一行為是為了保證病毒的持久性。

    小白:每一個步驟都很嚴密呀。

    大東:收集到信息之后,此時惡意軟件就會傳回信息,與控制端建立通信了。

    小白:這就是遠程控制(C2)通信吧。

    大東:沒錯,通過分析發現,Google Drive 鏈接指向一個名為 "domain.txt" 的以編碼形式保存的遠程控制文本文件。

    (圖片來源于網絡)

    小白:可怕可怕。

    大東:在 Windows 系統上,只要感染的過程完成,SysJoker 就可以遠程運行包括如 "exe"、"cmd"、"remove_reg" 這樣的可執行文件。

    小白:變成了被控制的一臺機器。

    大東:在對病毒的分析過程中,研究人員發現其服務器地址更改了三次,這一現象說明攻擊者是時刻活動著的,并且正在監控被感染的目標。

    小白:更害怕了,那我們要怎么查殺此惡意軟件呢?尤其剛才說這個惡意軟件逃掉了很多殺毒軟件的檢測。

    四、 小白內心說

    大東:不要擔心,發現該病毒的 Intezer 公司提供了一些檢測的方法。

    小白:什么呢?

    大東:我們可以使用內存掃描工具檢測內存中的 SysJoker 有效負載,或者在 EDR 或 SIEM 中搜索被檢測內容。

    小白:欸,還是有點不明白啊。

    大東:沒錯,我是只給你指出了方法,需要你自己在Intezer官網在查查,自己動手查找知識才學得更快,還有你剛才說得要學習的命令,下次我要檢查你是否學習了。

    小白:唉,雖然東哥你說得沒錯,但是一開年就有作業,唉。

    大東:嗯?

    小白:沒有意見,保證完成任務!

    大東:而且 Intezer 也發布了手動殺死該病毒的方法。

    小白:我想,應該要刪除上面提到的注冊表內容吧。

    大東:沒錯,首先殺死與 SysJoker 相關的進程,之后刪除與其關聯的注冊表鍵值和與該病毒相關的所有的文件。

    小白:具體的操作我也自行去官網查看,明白了。

    大東:小白,你非常的自覺嘛,值得鼓勵。

    小白:欸,我進步了,東哥,你說還有什么任務?

    大東:嗯…既然我這次說了windows,那么你就查下linux還有mac吧,期待你的成果。

    小白:保證完成!下次我會匯報的。

    參考資料:

    1. 惡意軟件偽裝成系統更新,通殺 Win Mac Linux 三大系統,隱藏半年才被發現 https://new.qq.com/omn/20220117/20220117A0CV1J00.html

    2. 惡意軟件偽裝成系統更新 https://www.51cto.com/article/699432.html

    3. SysJoker惡意軟件病毒

    https://blog.csdn.net/Px01Ih8/article/details/122677477

    來源:中國科學院信息工程研究所

    標簽: 惡意軟件 遠程控制 文本文件 研究人員 這個軟件