【安全资讯】SysJoker:针对多平台的新型后门

安恒威胁情报中心 2022-01-12 14:39:44 302人浏览

引言

2021年12月,研究人员发现了一个针对 Windows、Mac 和 Linux 的多平台新型后门,研究人员将这个后门命名为SysJoker。SysJoker恶意软件是用 C++ 编写的,每个样本都是针对目标操作系统定制的,VirusTotal 中完全未检测到 macOS 和 Linux 样本。

 

 

简况

以该后门的Windows版本为例,第一阶段释放器是一个DLL,释放一个压缩的SysJoker ZIP, 并将其复制到“C:\ProgramData\RecoverySystem\”,然后解压并执行有效载荷。随后,恶意软件会休眠90 到 120秒,然后创建一个新目录并伪装成igfxCUIService.exe将自身复制到该目录下,igfxCUIService.exe表示英特尔图形通用用户界面服务。

 

 

接下来,SysJoker将使用离地 (LOtL) 命令收集有关机器的信息。SysJoker 使用不同的临时文本文件来记录命令的结果,这些文本文件被立即删除,存储在 JSON 对象中,然后编码并写入名为“microsoft_Windows.dll”的文件。收集系统和网络数据后,SysJoker通过添加新的注册表项 (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) 来创建持久性。在以上每个步骤中,恶意软件都会随机休眠一段时间。

 

 

随后,恶意软件将开始其 C2 通信,SysJoker 首先对硬编码的 Google Drive 链接进行解码。Google Drive链接托管一个“domain.txt”文件,攻击者会定期更新该文件,以便为实时信标提供可用服务器。在感染的第一阶段收集的系统信息作为初始握手发送到 C2。C2 使用一个唯一的令牌进行回复,该令牌用作受感染端点的标识符。SysJoker 可以从 C2 接收以下指令:exe、cmd、 remove_reg和exit。SysJoker 与 C2 的通信流程如下:

 

 

总结

根据恶意软件的功能,研究人员认为攻击的目标是间谍活动以及横向移动,也可能导致下一阶段的勒索软件攻击。

 

 

 

 

失陷指标(IOC)10
后门 SysJoker 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。