游戏中,“Triple Kill”通常意为“三杀”,即玩家在较短时间内连续消灭 3 个敌人的一种游戏表现。
而近来, 络安全公司 Intezer 发现的一款后门恶意软件也实现了“Triple Kill”:同时攻击 Windows、macOS 和 Linux 三大操作系统,且几乎所有恶意软件扫描引擎都无法检测到它。
二、隐秘的入侵过程
据分析,SysJoker 入侵三大系统用的都是一个套路,为方便详细讲解该恶意软件的入侵过程,Intezer 以 Windows 为例。
首先,为获取用户信任,SysJoker 会伪装成系统更新的一部分。一旦 SysJoker 程序被执行,它会随机休眠 90-120 秒,然后创建 C:ProgramDataSystemData 目录并在该目录下复制自己,伪装成 igfxCUIService.exe,即英特尔图形通用用户界面服务。
入侵完成后,SysJoker 可以从 C2 中接收包括 exe、cmd、 remove_reg 和 exit 在内的可执行文件(Intezer 补充道,当前版本中没能实现 remove_reg 和 exit。根据指令名称,Intezer 推测 remove_reg 和 exit 应该负责的是恶意软件的自我删除)。
最后,通过对 SysJoker 的种种细节分析,Intezer 发现该恶意软件恨不寻常:
-
代码是从头开始编写的,这在其他攻击中从未见过。最重要的是,在实时攻击中很少发现以前不曾发现的 Linux 恶意软件。
-
攻击者注册了至少 4 个不同的域,并为三种不同的操作系统从头开始编写恶意软件。
-
整个分析过程中,没有发现攻击者发送的第二阶段命令,这表明攻击是特定的。
由此,Intezer 推断 SysJoker 的背后应是高级攻击者,且根据其功能,未来很可能用于间谍活动、横向移动或勒索软件攻击。
三、如何检测并解决/h2>
虽然该恶意软件的检测目前还比较艰难,但 Intezer 还是给出了一些有效的检测方法:用内存扫描器检测内存中的 SysJoker 有效载荷,或利用检测内容在 EDR 或 SIEM 中进行搜索。
如果发现系统已被入侵,可执行以下步骤:
1、杀死与 SysJoker 相关的进程,删除相关的持久化机制,以及所有与 SysJoker 相关的文件;
2、运行内存扫描程序,确保被入侵的设备已安全;
3、调查恶意软件的初始入口点。
参考链接:https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/
文章知识点与官方知识档案匹配,可进一步学习相关知识CS入门技能树Linux入门初识Linux24799 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!