通杀三平台的恶意软件丨大东话安全

一、 小白剧场

小白：东哥，安全人又要开始新的一年的打工了。

大东：不知道今年有哪些安全事件可以刷新历史，也具备新年新气象。

小白：我希望安全防护人员技术可以突破，但是不要造成什么损失，尤其是什么勒索软件，电脑的资料可是很重要的。

大东：除了勒索软件，恶意软件、撞库等也可以造成资料的泄露，我们个人使用者平时一定注意备份、及时更新、小心踩雷。

小白：嗯嗯，没错。不过我感觉安全界攻击和防护其实是相辅相成的，新的攻击出现，然后就有了新的防护措施，再根据此防护措施找到新的漏洞，就是这样迭代往复技术才发展的。

大东：是的，不过魔高一尺，道高一丈，也不用太担心了。

小白：今年才开始，我就看到一个新闻，说是出现了通杀三平台的恶意软件，三平台就是windows、linux和mac os，感觉还蛮厉害的。东哥你有没有了解过这个软件？

大东：我也关注了这个事件，而且还小小地了解了一下。

小白：东哥你太谦虚了，我知道你肯定了解得蛮多的，给我讲一讲吧。

大东：那就简单说一下吧，有些地方可能还需要你再查一查。

小白：好的好的。

大东：那我们就先从这个软件的发现过程说起吧。

小白：好的好的，搬来我的小板凳。

二、 话说事件

大东：首先是来自安全公司 Intezer 的研究人员发现，有一家从事教育行业的公司中了病毒。

小白：然后研究人员就开始对病毒进行分析，这一分析可不得了。东哥我贫一下，你继续。

大东：没错，他们确实是对此病毒进行了分析。首先是对域名进行了分析，并且通过和病毒库的信息进行比对，然后发现这个恶意软件竟然已经存活了半年，只不过是最近才被发现并且检测出来。

小白：欸，啥情况？

大东：说明这个病毒很狡猾啊，这个恶意软件名称为SysJoker。

（图片来源于网络）

小白：这个应该是System 和 Joker两个单词组成的名字，很形象嘛。

大东：没错，而且这个病毒十分狡猾且隐匿，之前在高达 57 个不同的反病毒检测引擎上都未被检测到。

（图片来源于网络）

小白：哇哦，这个病毒有点厉害哦。

大东：SysJoker 是由 C++ 编写的，而该病毒的每一个不同的变体都会特定地针对目标操作系统。这也可能是其不被检测到的原因吧。

小白：嗯，今天开始学编程，明日我也能写出这样的代码。哈哈哈。那被这个病毒感染之后会怎么样呢？

大东：SysJoker 的核心部分TypeScript 文件，其后缀名为 ".ts" 。SysJoker 一旦感染就可以远程控制目标，从而方便进一步攻击，比如植入勒索病毒。

小白：哦吼，好可怕。东哥，你能详细讲一下感染步骤吗？

大东：好的，别急，嗯嗯。

小白：好嘞。

三、 大话始末

大东：它在三个平台的感染步骤类似，我们选取一个平台讲解吧，你想听哪个平台呢？

小白：嗯，我使用的是windows平台，不如就windows吧。

大东：好的，那就以它为例吧。首先，这个病毒会伪装成windows更新。

小白：有点机智，毕竟windows天天更新。

大东：没错，一旦用户把该病毒错认为更新文件而开始运行，它就会随机睡眠 90 到 120 秒，然后在 C:\ProgramData\SystemData\ 目录下复制自己，并改名为 igfxCUIService.exe，将自己伪装成英特尔图形通用用户界面服务。

小白：这又是这个病毒的一个伪装之处，将它的界面换了。

大东：没错，这样增加了它的隐蔽性，然后它就开始侦探信息了。

小白：可以理解成先收集收集消息吗？然后再根据信息实施下一步计划。

大东：没错，他会收集这些信息，包括用户名、物理媒体序列号、MAC 地址和 IP 地址等。

小白：使用什么命令进行收集呢？

大东：它使用 Live off the Land（LOtL）命令收集被攻击目标的信息。

小白：拿小本本记下，之后我要查查这个命令。那它收集的信息会记录到哪里呢？

大东：该病毒还会记录命令的结果到不同的临时文本文件中。而且这些文本文件会马上删除，然后存储到 JSON 对象中，编码并写入名为 microsoft_windows.dll 的文件。

小白：那这一系列的操作过程如何被监测到了怎么办？就是系统发现有不正常的运行。

大东：这个问题恶意软件编写者也考虑到了，在执行这些步骤的时候，会在程序中添加随机休眠的行为，这样就难以被发现了。

小白：机智，我又想到了一个问题，上面存的文件被删除了怎么办？

大东：为了避免辛苦收集的信息不被删除，SysJoker 收集之后软件向注册表添加键值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun，这一行为是为了保证病毒的持久性。

小白：每一个步骤都很严密呀。

大东：收集到信息之后，此时恶意软件就会传回信息，与控制端建立通信了。

小白：这就是远程控制（C2）通信吧。

大东：没错，通过分析发现，Google Drive 链接指向一个名为 "domain.txt" 的以编码形式保存的远程控制文本文件。

（图片来源于网络）

小白：可怕可怕。

大东：在 Windows 系统上，只要感染的过程完成，SysJoker 就可以远程运行包括如 "exe"、"cmd"、"remove_reg" 这样的可执行文件。

小白：变成了被控制的一台机器。

大东：在对病毒的分析过程中，研究人员发现其服务器地址更改了三次，这一现象说明攻击者是时刻活动着的，并且正在监控被感染的目标。

小白：更害怕了，那我们要怎么查杀此恶意软件呢？尤其刚才说这个恶意软件逃掉了很多杀毒软件的检测。

四、 小白内心说

大东：不要担心，发现该病毒的 Intezer 公司提供了一些检测的方法。

小白：什么呢？

大东：我们可以使用内存扫描工具检测内存中的 SysJoker 有效负载，或者在 EDR 或 SIEM 中搜索被检测内容。

小白：欸，还是有点不明白啊。

大东：没错，我是只给你指出了方法，需要你自己在Intezer官网在查查，自己动手查找知识才学得更快，还有你刚才说得要学习的命令，下次我要检查你是否学习了。

小白：唉，虽然东哥你说得没错，但是一开年就有作业，唉。

大东：嗯？

小白：没有意见，保证完成任务！

大东：而且 Intezer 也发布了手动杀死该病毒的方法。

小白：我想，应该要删除上面提到的注册表内容吧。

大东：没错，首先杀死与 SysJoker 相关的进程，之后删除与其关联的注册表键值和与该病毒相关的所有的文件。

小白：具体的操作我也自行去官网查看，明白了。

大东：小白，你非常的自觉嘛，值得鼓励。

小白：欸，我进步了，东哥，你说还有什么任务？

大东：嗯…既然我这次说了windows，那么你就查下linux还有mac吧，期待你的成果。

小白：保证完成！下次我会汇报的。

参考资料：

1. 恶意软件伪装成系统更新，通杀 Win Mac Linux 三大系统，隐藏半年才被发现 https://new.qq.com/omn/20220117/20220117A0CV1J00.html

2. 恶意软件伪装成系统更新 https://www.51cto.com/article/699432.html

3. SysJoker恶意软件病毒

https://blog.csdn.net/Px01Ih8/article/details/122677477

来源：中国科学院信息工程研究所