您的位置:首頁 >產(chǎn)經(jīng) >

通殺三平臺(tái)的惡意軟件丨大東話安全

2022-03-19 23:02:36 來源:瀟湘晨報(bào)

一、 小白劇場

小白:東哥,安全人又要開始新的一年的打工了。

大東:不知道今年有哪些安全事件可以刷新歷史,也具備新年新氣象。

小白:我希望安全防護(hù)人員技術(shù)可以突破,但是不要造成什么損失,尤其是什么勒索軟件,電腦的資料可是很重要的。

大東:除了勒索軟件,惡意軟件、撞庫等也可以造成資料的泄露,我們個(gè)人使用者平時(shí)一定注意備份、及時(shí)更新、小心踩雷。

小白:嗯嗯,沒錯(cuò)。不過我感覺安全界攻擊和防護(hù)其實(shí)是相輔相成的,新的攻擊出現(xiàn),然后就有了新的防護(hù)措施,再根據(jù)此防護(hù)措施找到新的漏洞,就是這樣迭代往復(fù)技術(shù)才發(fā)展的。

大東:是的,不過魔高一尺,道高一丈,也不用太擔(dān)心了。

小白:今年才開始,我就看到一個(gè)新聞,說是出現(xiàn)了通殺三平臺(tái)的惡意軟件,三平臺(tái)就是windows、linux和mac os,感覺還蠻厲害的。東哥你有沒有了解過這個(gè)軟件?

大東:我也關(guān)注了這個(gè)事件,而且還小小地了解了一下。

小白:東哥你太謙虛了,我知道你肯定了解得蠻多的,給我講一講吧。

大東:那就簡單說一下吧,有些地方可能還需要你再查一查。

小白:好的好的。

大東:那我們就先從這個(gè)軟件的發(fā)現(xiàn)過程說起吧。

小白:好的好的,搬來我的小板凳。

二、 話說事件

大東:首先是來自安全公司 Intezer 的研究人員發(fā)現(xiàn),有一家從事教育行業(yè)的公司中了病毒。

小白:然后研究人員就開始對病毒進(jìn)行分析,這一分析可不得了。東哥我貧一下,你繼續(xù)。

大東:沒錯(cuò),他們確實(shí)是對此病毒進(jìn)行了分析。首先是對域名進(jìn)行了分析,并且通過和病毒庫的信息進(jìn)行比對,然后發(fā)現(xiàn)這個(gè)惡意軟件竟然已經(jīng)存活了半年,只不過是最近才被發(fā)現(xiàn)并且檢測出來。

小白:欸,啥情況?

大東:說明這個(gè)病毒很狡猾啊,這個(gè)惡意軟件名稱為SysJoker。

(圖片來源于網(wǎng)絡(luò))

小白:這個(gè)應(yīng)該是System 和 Joker兩個(gè)單詞組成的名字,很形象嘛。

大東:沒錯(cuò),而且這個(gè)病毒十分狡猾且隱匿,之前在高達(dá) 57 個(gè)不同的反病毒檢測引擎上都未被檢測到。

(圖片來源于網(wǎng)絡(luò))

小白:哇哦,這個(gè)病毒有點(diǎn)厲害哦。

大東:SysJoker 是由 C++ 編寫的,而該病毒的每一個(gè)不同的變體都會(huì)特定地針對目標(biāo)操作系統(tǒng)。這也可能是其不被檢測到的原因吧。

小白:嗯,今天開始學(xué)編程,明日我也能寫出這樣的代碼。哈哈哈。那被這個(gè)病毒感染之后會(huì)怎么樣呢?

大東:SysJoker 的核心部分TypeScript 文件,其后綴名為 ".ts" 。SysJoker 一旦感染就可以遠(yuǎn)程控制目標(biāo),從而方便進(jìn)一步攻擊,比如植入勒索病毒。

小白:哦吼,好可怕。東哥,你能詳細(xì)講一下感染步驟嗎?

大東:好的,別急,嗯嗯。

小白:好嘞。

三、 大話始末

大東:它在三個(gè)平臺(tái)的感染步驟類似,我們選取一個(gè)平臺(tái)講解吧,你想聽哪個(gè)平臺(tái)呢?

小白:嗯,我使用的是windows平臺(tái),不如就windows吧。

大東:好的,那就以它為例吧。首先,這個(gè)病毒會(huì)偽裝成windows更新。

小白:有點(diǎn)機(jī)智,畢竟windows天天更新。

大東:沒錯(cuò),一旦用戶把該病毒錯(cuò)認(rèn)為更新文件而開始運(yùn)行,它就會(huì)隨機(jī)睡眠 90 到 120 秒,然后在 C:\ProgramData\SystemData\ 目錄下復(fù)制自己,并改名為 igfxCUIService.exe,將自己偽裝成英特爾圖形通用用戶界面服務(wù)。

小白:這又是這個(gè)病毒的一個(gè)偽裝之處,將它的界面換了。

大東:沒錯(cuò),這樣增加了它的隱蔽性,然后它就開始偵探信息了。

小白:可以理解成先收集收集消息嗎?然后再根據(jù)信息實(shí)施下一步計(jì)劃。

大東:沒錯(cuò),他會(huì)收集這些信息,包括用戶名、物理媒體序列號(hào)、MAC 地址和 IP 地址等。

小白:使用什么命令進(jìn)行收集呢?

大東:它使用 Live off the Land(LOtL)命令收集被攻擊目標(biāo)的信息。

小白:拿小本本記下,之后我要查查這個(gè)命令。那它收集的信息會(huì)記錄到哪里呢?

大東:該病毒還會(huì)記錄命令的結(jié)果到不同的臨時(shí)文本文件中。而且這些文本文件會(huì)馬上刪除,然后存儲(chǔ)到 JSON 對象中,編碼并寫入名為 microsoft_windows.dll 的文件。

小白:那這一系列的操作過程如何被監(jiān)測到了怎么辦?就是系統(tǒng)發(fā)現(xiàn)有不正常的運(yùn)行。

大東:這個(gè)問題惡意軟件編寫者也考慮到了,在執(zhí)行這些步驟的時(shí)候,會(huì)在程序中添加隨機(jī)休眠的行為,這樣就難以被發(fā)現(xiàn)了。

小白:機(jī)智,我又想到了一個(gè)問題,上面存的文件被刪除了怎么辦?

大東:為了避免辛苦收集的信息不被刪除,SysJoker 收集之后軟件向注冊表添加鍵值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,這一行為是為了保證病毒的持久性。

小白:每一個(gè)步驟都很嚴(yán)密呀。

大東:收集到信息之后,此時(shí)惡意軟件就會(huì)傳回信息,與控制端建立通信了。

小白:這就是遠(yuǎn)程控制(C2)通信吧。

大東:沒錯(cuò),通過分析發(fā)現(xiàn),Google Drive 鏈接指向一個(gè)名為 "domain.txt" 的以編碼形式保存的遠(yuǎn)程控制文本文件。

(圖片來源于網(wǎng)絡(luò))

小白:可怕可怕。

大東:在 Windows 系統(tǒng)上,只要感染的過程完成,SysJoker 就可以遠(yuǎn)程運(yùn)行包括如 "exe"、"cmd"、"remove_reg" 這樣的可執(zhí)行文件。

小白:變成了被控制的一臺(tái)機(jī)器。

大東:在對病毒的分析過程中,研究人員發(fā)現(xiàn)其服務(wù)器地址更改了三次,這一現(xiàn)象說明攻擊者是時(shí)刻活動(dòng)著的,并且正在監(jiān)控被感染的目標(biāo)。

小白:更害怕了,那我們要怎么查殺此惡意軟件呢?尤其剛才說這個(gè)惡意軟件逃掉了很多殺毒軟件的檢測。

四、 小白內(nèi)心說

大東:不要擔(dān)心,發(fā)現(xiàn)該病毒的 Intezer 公司提供了一些檢測的方法。

小白:什么呢?

大東:我們可以使用內(nèi)存掃描工具檢測內(nèi)存中的 SysJoker 有效負(fù)載,或者在 EDR 或 SIEM 中搜索被檢測內(nèi)容。

小白:欸,還是有點(diǎn)不明白啊。

大東:沒錯(cuò),我是只給你指出了方法,需要你自己在Intezer官網(wǎng)在查查,自己動(dòng)手查找知識(shí)才學(xué)得更快,還有你剛才說得要學(xué)習(xí)的命令,下次我要檢查你是否學(xué)習(xí)了。

小白:唉,雖然東哥你說得沒錯(cuò),但是一開年就有作業(yè),唉。

大東:嗯?

小白:沒有意見,保證完成任務(wù)!

大東:而且 Intezer 也發(fā)布了手動(dòng)殺死該病毒的方法。

小白:我想,應(yīng)該要?jiǎng)h除上面提到的注冊表內(nèi)容吧。

大東:沒錯(cuò),首先殺死與 SysJoker 相關(guān)的進(jìn)程,之后刪除與其關(guān)聯(lián)的注冊表鍵值和與該病毒相關(guān)的所有的文件。

小白:具體的操作我也自行去官網(wǎng)查看,明白了。

大東:小白,你非常的自覺嘛,值得鼓勵(lì)。

小白:欸,我進(jìn)步了,東哥,你說還有什么任務(wù)?

大東:嗯…既然我這次說了windows,那么你就查下linux還有mac吧,期待你的成果。

小白:保證完成!下次我會(huì)匯報(bào)的。

參考資料:

1. 惡意軟件偽裝成系統(tǒng)更新,通殺 Win Mac Linux 三大系統(tǒng),隱藏半年才被發(fā)現(xiàn) https://new.qq.com/omn/20220117/20220117A0CV1J00.html

2. 惡意軟件偽裝成系統(tǒng)更新 https://www.51cto.com/article/699432.html

3. SysJoker惡意軟件病毒

https://blog.csdn.net/Px01Ih8/article/details/122677477

來源:中國科學(xué)院信息工程研究所

標(biāo)簽: 惡意軟件 遠(yuǎn)程控制 文本文件 研究人員 這個(gè)軟件

相關(guān)文章

編輯推薦