安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
恶意软件伪装成系统更新,通杀Win Mac Linux三大系统
2022-01-17 15:36:49 【

能同时攻击Windows、Mac、Linux三大操作系统的恶意软件出现了。

虽然“全平台通杀”病毒并不常见,但是安全公司Intezer的研究人员发现,有家教育公司在上个月中了招。

更可怕的是,他们通过分析域名和病毒库发现,这个恶意软件已经存在半年之久,只是直到最近才被检测到。

他们把这个恶意软件命名为SysJoker。

SysJoker核心部分是后缀名为“.ts”的TypeScript文件,一旦感染就能被远程控制,方便黑客进一步后续攻击,比如植入勒索病毒。

SysJoker用C++编写,每个变体都是为目标操作系统量身定制,之前在57个不同反病毒检测引擎上都未被检测到。

恶意软件伪装成系统更新,通杀Win Mac Linux三大系统

那么SysJoker到底是如何通杀三大系统的?

SysJoker的感染步骤

SysJoker在三种操作系统中的行为类似,下面将以Windows为例展示SysJoker的行为。

首先,SysJoker会伪装成系统更新。

一旦用户将其误认为更新文件开始运行,它就会随机睡眠90到120秒,然后在C:\ProgramData\SystemData\目录下复制自己,并改名为igfxCUIService.exe,伪装成英特尔图形通用用户界面服务。

接下来,它使用Live off the Land(LOtL)命令收集有关机器的信息,包括MAC地址、用户名、物理媒体序列号和IP地址等。

SysJoker使用不同的临时文本文件来记录命令的结果。这些文本文件会立即删除,存储在JSON对象中,然后编码并写入名为microsoft_windows.dll的文件。

恶意软件伪装成系统更新,通杀Win Mac Linux三大系统

此外,SysJoker收集之后软件向注册表添加键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run保证其持久存在。

在上述每个步骤之间,恶意软件都会随机睡眠,防止被检测到。

接下来,SysJoker将开始建立远程控制(C2)通信。

方式是通过下载从Google Drive托管的文本文件,来生成远程控制。

恶意软件伪装成系统更新,通杀Win Mac Linux三大系统

Google Drive链接指向一个名为“domain.txt”的文本文件,这是以编码形式保存的远程控制文件。

在Windows系统上,一旦感染完成,SysJoker就可以远程运行包括“exe”、“cmd”、“remove_reg”在内的可执行文件。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇windows服务器七个安全策略配置 下一篇研究显示勒索式DDoS攻击正在成为..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800