新惡意軟件偽裝成系統更新，Win/Mac/Linux均中招

?去年12月，一款專為 Windows 系統打造的名為 Loaf 的摸魚工具火了。

安裝這款小工具以后，點擊摸魚按鈕，電腦屏幕上就會顯示一個 Windows Update 的畫面。

由此一來，就算老板在身后，大家也可以理直氣壯地摸魚了。

令人沒想到的是，現在，連惡意軟件也學會了通過這種方式，來迷惑用戶了。

近日，安全公司 Intezer 的研究人員發現，有一家教育公司便在上個月中了招。

研究人員通過分析域名和病毒庫發現，這款命名為 SysJoker 的惡意軟件已存在半年之久，直到最近才被檢測出來。

而且，這還是一款能夠對 Win、 Mac 、Linux 三大系統進行通殺的惡意軟件。

據了解，SysJoker 核心部分是 TypeScript 文件，其后綴名為“.ts”，一旦感染就可能被遠程控制，方便黑客植入勒索病毒等進一步的后續攻擊。

SysJoker 是用 C++ 所編寫，且每個變體都是為目標操作系統量身定制，因此此前在57個不同反病毒檢測引擎上都未曾被檢測出來。

 SysJoker 在 Win、 Mac 、Linux 三種操作系統中的感染行為十分的類似。以 Windows 為例，SysJoker 首先會偽裝成系統更新。

若用戶將 SysJoker 誤認為更新文件并開始將其運行，它會隨機睡眠90-120秒。

緊接著，SysJoker 就會在【C:\ProgramData\SystemData\目錄】下對自己進行復制，并將復制后的文件改名為 igfxCUIService.exe，偽裝成英特爾圖形通用用戶界面服務。

然后，SysJoker 會使用 Live off the Land（LOtL）命令收集包括 MAC 地址、用戶名、物理媒體序列號和 IP 地址等在內的有關機器的信息。

SysJoker 還會使用不同的臨時文本文件來記錄命令的結果。但這些文本文件會立即刪除，存儲在 JSON 對象中，隨之編碼并寫入名為 microsoft_windows.dll 的文件。

此外，收集之后，SysJoker 軟件會向注冊表添加鍵值【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run】，保證其持久存在。

需要注意的是，這款惡意軟件在上述的每個步驟之間都會隨機睡眠，以防止被反病毒檢測引擎檢測到。

這時，SysJoker 將通過下載從 Google Drive 托管的文本文件生成遠程控制的方式開始建立遠程控制（C2）通信。

Google Drive 鏈接所指向一個名為“domain.txt”的文本文件，就是一種以編碼形式保存的遠程控制文件。

最后，一旦在 Windows 系統上感染完成，SysJoker 就可以遠程運行包括“exe”、“cmd”、“remove_reg”在內的可執行文件。

在此期間，研究人員通過分析發現，以上服務器地址更改了三次。這不僅表明攻擊者處于活動狀態，且還監控了受感染的機器。

值得一提的是，雖然 SysJoker 目前被殺毒軟件檢測出的概率較低，但 Intezer 公司還是提供了檢測的方法：

用戶可以使用內存掃描工具檢測內存中的 SysJoker 有效負載，或使用檢測內容在 EDR 或 SIEM 中進行搜索的方式進行檢測。

當然，已感染的用戶也不用擔憂。Intezer 同樣為其提供了手動殺死 SysJoker 的方法：

用戶可以通過殺死與 SysJoker 相關的進程、刪除相關的注冊表鍵值以及與 SysJoker 相關的所有文件來殺死 SysJoker。

由于 Linux 和 Mac 的感染路徑不同，因此用戶需要在 Intezer 查詢這些參數，以此分析自己的電腦是否被感染。