惡意軟件偽裝成系統更新，通殺 Win Mac Linux 三大系統，隱藏半年才被發現

能同時攻擊 Windows、Mac、Linux 三大操作系統的惡意軟件出現了。

雖然 " 全平臺通殺 " 病毒并不常見，但是安全公司 Intezer 的研究人員發現，有家教育公司在上個月中了招。

更可怕的是，他們通過分析域名和病毒庫發現，這個惡意軟件已經存在半年之久，只是直到最近才被檢測到。

他們把這個惡意軟件命名為SysJoker。

SysJoker 核心部分是后綴名為 ".ts" 的 TypeScript 文件，一旦感染就能被遠程控制，方便黑客進一步后續攻擊，比如植入勒索病毒。

SysJoker 用 C++ 編寫，每個變體都是為目標操作系統量身定制，之前在 57 個不同反病毒檢測引擎上都未被檢測到。

那么 SysJoker 到底是如何通殺三大系統的？

SysJoker 的感染步驟

SysJoker 在三種操作系統中的行為類似，下面將以 Windows 為例展示 SysJoker 的行為。

首先，SysJoker 會偽裝成系統更新。

一旦用戶將其誤認為更新文件開始運行，它就會隨機睡眠 90 到 120 秒，然后在 C:ProgramDataSystemData 目錄下復制自己，并改名為 igfxCUIService.exe，偽裝成英特爾圖形通用用戶界面服務。

接下來，它使用 Live off the Land（LOtL）命令收集有關機器的信息，包括 MAC 地址、用戶名、物理媒體序列號和 IP 地址等。

SysJoker 使用不同的臨時文本文件來記錄命令的結果。這些文本文件會立即刪除，存儲在 JSON 對象中，然后編碼并寫入名為 microsoft_windows.dll 的文件。

此外，SysJoker 收集之后軟件向注冊表添加鍵值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 保證其持久存在。

在上述每個步驟之間，惡意軟件都會隨機睡眠，防止被檢測到。

接下來，SysJoker 將開始建立遠程控制（C2）通信。

Google Drive 鏈接指向一個名為 "domain.txt" 的文本文件，這是以編碼形式保存的遠程控制文件。

在 Windows 系統上，一旦感染完成，SysJoker 就可以遠程運行包括 "exe"、"cmd"、"remove_reg" 在內的可執行文件。

而且研究人員在分析期間發現，以上服務器地址更改了三次，表明攻擊者處于活動狀態，并監控了受感染的機器。

如何查殺 SysJoker

盡管 SysJoker 現在被殺毒軟件檢測出的概率很低，但發現它的 Intezer 公司還是提供了一些檢測方法。

用戶可以使用內存掃描工具檢測內存中的 SysJoker 有效負載，或者使用檢測內容在 EDR 或 SIEM 中搜索。具體操作方法可以參見 Intezer 網站。

已經感染的用戶也不要害怕，Intezer 也提供了手動殺死 SysJoker 的方法。

用戶可以殺死與 SysJoker 相關的進程，刪除相關的注冊表鍵值和與 SysJoker 相關的所有文件。

Linux 和 Mac 的感染路徑不同，用戶可以在 Intezer 查詢到這些參數，分析自己的電腦是否被感染。