xlivedllwin7 ()

一、 小白剧场


小白:东哥,安全人又要开始新的一年的打工了。


大东:不知道今年有哪些安全事件可以刷新历史,也具备新年新气象。


小白:我希望安全防护人员技术可以突破,但是不要造成什么损失,尤其是什么勒索软件,电脑的资料可是很重要的。


大东:除了勒索软件,恶意软件、撞库等也可以造成资料的泄露,我们个人使用者平时一定注意备份、及时更新、小心踩雷。


小白:嗯嗯,没错。不过我感觉安全界攻击和防护其实是相辅相成的,新的攻击出现,然后就有了新的防护措施,再根据此防护措施找到新的漏洞,就是这样迭代往复技术才发展的。


大东:是的,不过魔高一尺,道高一丈,也不用太担心了。


小白:今年才开始,我就看到一个新闻,说是出现了通杀三平台的恶意软件,三平台就是windows、linux和mac os,感觉还蛮厉害的。东哥你有没有了解过这个软件?


大东:我也关注了这个事件,而且还小小地了解了一下。


小白:东哥你太谦虚了,我知道你肯定了解得蛮多的,给我讲一讲吧。


大东:那就简单说一下吧,有些地方可能还需要你再查一查。


小白:好的好的。


大东:那我们就先从这个软件的发现过程说起吧。


小白:好的好的,搬来我的小板凳。


二、 话说事件

电脑


大东:首先是来自安全公司 Intezer 的研究人员发现,有一家从事教育行业的公司中了病毒。


小白:然后研究人员就开始对病毒进行分析,这一分析可不得了。东哥我贫一下,你继续。


大东:没错,他们确实是对此病毒进行了分析。首先是对域名进行了分析,并且通过和病毒库的信息进行比对,然后发现这个恶意软件竟然已经存活了半年,只不过是最近才被发现并且检测出来。


小白:欸,啥情况?


大东:说明这个病毒很狡猾啊,这个恶意软件名称为SysJoker。

(图片来源于网络)


小白:这个应该是System 和 Joker两个单词组成的名字,很形象嘛。


大东:没错,而且这个病毒十分狡猾且隐匿,之前在高达 57 个不同的反病毒检测引擎上都未被检测到。

(图片来源于网络)


小白:哇哦,这个病毒有点厉害哦。


大东:SysJoker 是由 C++ 编写的,而该病毒的每一个不同的变体都会特定地针对目标操作系统。这也可能是其不被检测到的原因吧。


小白:嗯,今天开始学编程,明日我也能写出这样的代码。哈哈哈。那被这个病毒感染之后会怎么样呢?


大东:SysJoker 的核心部分TypeScript 文件,其后缀名为 \".ts\" 。SysJoker 一旦感染就可以远程控制目标,从而方便进一步攻击,比如植入勒索病毒。


小白:哦吼,好可怕。东哥,你能详细讲一下感染步骤吗?


大东:好的,别急,嗯嗯。


小白:好嘞。


三、 大话始末


大东:它在三个平台的感染步骤类似,我们选取一个平台讲解吧,你想听哪个平台呢?


小白:嗯,我使用的是windows平台,不如就windows吧。


大东:好的,那就以它为例吧。首先,这个病毒会伪装成windows更新。


小白:有点机智,毕竟windows天天更新。


大东:没错,一旦用户把该病毒错认为更新文件而开始运行,它就会随机睡眠 90 到 120 秒,然后在 C:\ProgramData\SystemData\ 目录下复制自己,并改名为 igfxCUIService.exe,将自己伪装成英特尔图形通用用户界面服务。


小白:这又是这个病毒的一个伪装之处,将它的界面换了。


大东:没错,这样增加了它的隐蔽性,然后它就开始侦探信息了。


小白:可以理解成先收集收集消息吗?然后再根据信息实施下一步计划。


大东:没错,他会收集这些信息,包括用户名、物理媒体序列号、MAC 地址和 IP 地址等。


小白:使用什么命令进行收集呢?


大东:它使用 Live off the Land(LOtL)命令收集被攻击目标的信息。


小白:拿小本本记下,之后我要查查这个命令。那它收集的信息会记录到哪里呢?


大东:该病毒还会记录命令的结果到不同的临时文本文件中。而且这些文本文件会马上删除,然后存储到 JSON 对象中,编码并写入名为 microsoft_windows.dll 的文件。


小白:那这一系列的操作过程如何被监测到了怎么办?就是系统发现有不正常的运行。


大东:这个问题恶意软件编写者也考虑到了,在执行这些步骤的时候,会在程序中添加随机休眠的行为,这样就难以被发现了。


小白:机智,我又想到了一个问题,上面存的文件被删除了怎么办?


大东:为了避免辛苦收集的信息不被删除,SysJoker 收集之后软件向注册表添加键值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,这一行为是为了保证病毒的持久性。


小白:每一个步骤都很严密呀。


大东:收集到信息之后,此时恶意软件就会传回信息,与控制端建立通信了。


小白:这就是远程控制(C2)通信吧。


大东:没错,通过分析发现,Google Drive 链接指向一个名为 \"domain.txt\" 的以编码形式保存的远程控制文本文件。

电脑(图片来源于网络)


小白:可怕可怕。


大东:在 Windows 系统上,只要感染的过程完成,SysJoker 就可以远程运行包括如 \"exe\"、\"cmd\"、\"remove_reg\" 这样的可执行文件。


小白:变成了被控制的一台机器。


大东:在对病毒的分析过程中,研究人员发现其服务器地址更改了三次,这一现象说明攻击者是时刻活动着的,并且正在监控被感染的目标。


小白:更害怕了,那我们要怎么查杀此恶意软件呢?尤其刚才说这个恶意软件逃掉了很多杀毒软件的检测。


四、 小白内心说


大东:不要担心,发现该病毒的 Intezer 公司提供了一些检测的方法。


小白:什么呢?


大东:我们可以使用内存扫描工具检测内存中的 SysJoker 有效负载,或者在 EDR 或 SIEM 中搜索被检测内容。


小白:欸,还是有点不明白啊。


大东:没错,我是只给你指出了方法,需要你自己在Intezer官网在查查,自己动手查找知识才学得更快,还有你刚才说得要学习的命令,下次我要检查你是否学习了。


小白:唉,虽然东哥你说得没错,但是一开年就有作业,唉。

大东:嗯?


小白:没有意见,保证完成任务!


大东:而且 Intezer 也发布了手动杀死该病毒的方法。


小白:我想,应该要删除上面电脑提到的注册表内容吧。


大东:没错,首先杀死与 SysJoker 相关的进程,之后删除与其关联的注册表键值和与该病毒相关的所有的文件。


小白:具体的操作我也自行去官网查看,明白了。


大东:小白,你非常的自觉嘛,值得鼓励。


小白:欸,我进步了,东哥,你说还有什么任务?


大东:嗯…既然我这次说了windows,那么你就查下linux还有mac吧,期待你的成果。


小白:保证完成!下次我会汇报的。


参考资料:

1. 恶意软件伪装成系统更新,通杀 Win Mac Linux 三大系统,隐藏半年才被发现 https://new.qq.com/omn/20220117/20220117A0CV1J00.html

2. 恶意软件伪装成系统更新 https://www.51cto.com/article/699432.html

3. SysJoker恶意软件病毒

https://blog.csdn.net/Px01Ih8/article/details/122677477


电脑 来源:中国科学院信息工程研究所




电脑

电脑 电脑