小白:东哥,安全人又要开始新的一年的打工了。
大东:不知道今年有哪些安全事件可以刷新历史,也具备新年新气象。
小白:我希望安全防护人员技术可以突破,但是不要造成什么损失,尤其是什么勒索软件,电脑的资料可是很重要的。
大东:除了勒索软件,恶意软件、撞库等也可以造成资料的泄露,我们个人使用者平时一定注意备份、及时更新、小心踩雷。
小白:嗯嗯,没错。不过我感觉安全界攻击和防护其实是相辅相成的,新的攻击出现,然后就有了新的防护措施,再根据此防护措施找到新的漏洞,就是这样迭代往复技术才发展的。
大东:是的,不过魔高一尺,道高一丈,也不用太担心了。
小白:今年才开始,我就看到一个新闻,说是出现了通杀三平台的恶意软件,三平台就是windows、linux和mac os,感觉还蛮厉害的。东哥你有没有了解过这个软件?
大东:我也关注了这个事件,而且还小小地了解了一下。
小白:东哥你太谦虚了,我知道你肯定了解得蛮多的,给我讲一讲吧。
大东:那就简单说一下吧,有些地方可能还需要你再查一查。
小白:好的好的。
大东:那我们就先从这个软件的发现过程说起吧。
小白:好的好的,搬来我的小板凳。
大东:首先是来自安全公司 Intezer 的研究人员发现,有一家从事教育行业的公司中了病毒。
小白:然后研究人员就开始对病毒进行分析,这一分析可不得了。东哥我贫一下,你继续。
大东:没错,他们确实是对此病毒进行了分析。首先是对域名进行了分析,并且通过和病毒库的信息进行比对,然后发现这个恶意软件竟然已经存活了半年,只不过是最近才被发现并且检测出来。
小白:欸,啥情况?
大东:说明这个病毒很狡猾啊,这个恶意软件名称为SysJoker。
小白:这个应该是System和Joker两个单词组成的名字,很形象嘛。
大东:没错,而且这个病毒十分狡猾且隐匿,之前在高达57个不同的反病毒检测引擎上都未被检测到。
小白:哇哦,这个病毒有点厉害哦。
大东:SysJoker是由C++编写的,而该病毒的每一个不同的变体都会特定地针对目标操作系统。这也可能是其不被检测到的原因吧。
小白:嗯,今天开始学编程,明日我也能写出这样的代码。哈哈哈。那被这个病毒感染之后会怎么样呢?
大东:SysJoker的核心部分TypeScript文件,其后缀名为 ".ts"。SysJoker一旦感染就可以远程控制目标,从而方便进一步攻击,比如植入勒索病毒。
小白:哦吼,好可怕。东哥,你能详细讲一下感染步骤吗?
大东:好的,别急,嗯嗯。
小白:好嘞。
大东:它在三个平台的感染步骤类似,我们选取一个平台讲解吧,你想听哪个平台呢?
小白:嗯,我使用的是windows平台,不如就windows吧。
大东:好的,那就以它为例吧。首先,这个病毒会伪装成windows更新。
小白:有点机智,毕竟windows天天更新。
大东:没错,一旦用户把该病毒错认为更新文件而开始运行,它就会随机睡眠90到120秒,然后在C:\ProgramData\SystemData\目录下复制自己,并改名为igfxCUIService.exe,将自己伪装成英特尔图形通用用户界面服务。
小白:这又是这个病毒的一个伪装之处,将它的界面换了。
大东:没错,这样增加了它的隐蔽性,然后它就开始侦探信息了。
小白:可以理解成先收集收集消息吗?然后再根据信息实施下一步计划。
大东:没错,他会收集这些信息,包括用户名、物理媒体序列号、MAC地址和IP地址等。
小白:使用什么命令进行收集呢?
大东:它使用Live off the Land(LOtL)命令收集被攻击目标的信息。
小白:拿小本本记下,之后我要查查这个命令。那它收集的信息会记录到哪里呢?
大东:该病毒还会记录命令的结果到不同的临时文本文件中。而且这些文本文件会马上删除,然后存储到JSON对象中,编码并写入名为microsoft_windows.dll的文件。
小白:那这一系列的操作过程如何被监测到了怎么办?就是系统发现有不正常的运行。
大东:这个问题恶意软件编写者也考虑到了,在执行这些步骤的时候,会在程序中添加随机休眠的行为,这样就难以被发现了。
小白:机智,我又想到了一个问题,上面存的文件被删除了怎么办?
大东:为了避免辛苦收集的信息不被删除,SysJoker收集之后软件向注册表添加键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,这一行为是为了保证病毒的持久性。
小白:每一个步骤都很严密呀。
大东:收集到信息之后,此时恶意软件就会传回信息,与控制端建立通信了。
小白:这就是远程控制(C2)通信吧。
大东:没错,通过分析发现,Google Drive链接指向一个名为"domain.txt"的以编码形式保存的远程控制文本文件。
小白:可怕可怕。
大东:在Windows系统上,只要感染的过程完成,SysJoker就可以远程运行包括如"exe"、"cmd"、"remove_reg"这样的可执行文件。
小白:变成了被控制的一台机器。
大东:在对病毒的分析过程中,研究人员发现其服务器地址更改了三次,这一现象说明攻击者是时刻活动着的,并且正在监控被感染的目标。
小白:更害怕了,那我们要怎么查杀此恶意软件呢?尤其刚才说这个恶意软件逃掉了很多杀毒软件的检测。
大东:不要担心,发现该病毒的Intezer公司提供了一些检测的方法。
小白:什么呢?
大东:我们可以使用内存扫描工具检测内存中的SysJoker有效负载,或者在EDR或SIEM中搜索被检测内容。
小白:欸,还是有点不明白啊。
大东:没错,我是只给你指出了方法,需要你自己在Intezer官网在查查,自己动手查找知识才学得更快,还有你刚才说得要学习的命令,下次我要检查你是否学习了。
小白:唉,虽然东哥你说得没错,但是一开年就有作业,唉。
大东:嗯?
小白:没有意见,保证完成任务!
大东:而且Intezer也发布了手动杀死该病毒的方法。
小白:我想,应该要删除上面提到的注册表内容吧。
大东:没错,首先杀死与SysJoker相关的进程,之后删除与其关联的注册表键值和与该病毒相关的所有的文件。
小白:具体的操作我也自行去官网查看,明白了。
大东:小白,你非常的自觉嘛,值得鼓励。
小白:欸,我进步了,东哥,你说还有什么任务?
大东:嗯…既然我这次说了windows,那么你就查下linux还有mac吧,期待你的成果。
小白:保证完成!下次我会汇报的。