SysJoker Backdoor

SysJoker नाम का एक ज्यादातर ज्ञात पिछले दरवाजे का खतरा विंडोज, लिनक्स और मैकओएस चलाने वाले कंप्यूटरों के लिए खतरा है। मैलवेयर की खोज इंटेज़र ने की थी और उनके निष्कर्षों के अनुसार, Linux और macOS वेरिएंट हैंपूरी तरह से पता नहीं लगाया जा सकता है, जबकि विंडोज़ की पहचान दर बेहद कम है।

SysJoker से जुड़ा पहला हमला दिसंबर 2021 में हुआ और एक 'अग्रणी शैक्षणिक संस्थान' से संबंधित Linux वेबसर्वर को निशाना बनाया गया। हमलावर विभिन्न तरीकों से SysJoker के माध्यम से स्थापित अवैध पहुंच का लाभ उठा सकते हैं। वे हमले को बढ़ाने, नए लक्ष्यों की तलाश करने, या अन्य साइबर अपराधी समूहों को पिछले दरवाजे तक पहुंच बेचने के लिए अतिरिक्त खतरों को तैनात कर सकते हैं।

टेक्निकल डिटेल

वर्तमान में उपलब्ध आंकड़े बताते हैं कि SysJoker का प्रारंभिक आक्रमण वेक्टर एक खतरनाक npm पैकेज के माध्यम से हो सकता है। NPM का अर्थ 'नोड पैकेज मैनेजर' है, जो कि जावास्क्रिप्ट के रनटाइम Node.js के लिए डिफ़ॉल्ट पैकेज मैनेजर है। यह ओपन-सोर्स Node.js प्रोजेक्ट्स को प्रकाशित करने के लिए सबसे बड़े ऑनलाइन रिपॉजिटरी में से एक है।

SysJoker का व्यवहार Linux और macOS पर समान है, जबकि Windows पर, खतरा एक समर्पित प्रथम-चरण ड्रॉपर का उपयोग करता है। एक बार लक्षित डिवाइस के अंदर, पिछला दरवाजा पहले एक यादृच्छिक अवधि के लिए निष्क्रिय रहेगा, जो डेढ़ मिनट और दो मिनट के बीच होगा। SysJoker अपनी नापाक प्रोग्रामिंग के प्रत्येक चरण के बीच इस निष्क्रिय मोड में प्रवेश करेगा।

खतरा C:\ProgramData\SystemData\ निर्देशिका बनाएगा और 'igfxCUIService.exe' नाम से खुद को वहां कॉपी करेगा, जो वास्तविक इंटेल ग्राफिक्स कॉमन यूजर इंटरफेस सर्विस के रूप में प्रदर्शित होने का प्रयास है। 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run' में एक नई प्रविष्टि को शामिल करके एक दृढ़ता तंत्र स्थापित किया जाएगा।

C2 सर्वर और कमांड

SysJoker संक्रमित सिस्टम के बारे में विभिन्न जानकारी एकत्र करेगा। एकत्र किए गए डेटा में डिवाइस का मैक पता, आईपी पता उपयोगकर्ता नाम, और बहुत कुछ शामिल हो सकता है। यह फ़िंगरप्रिंटिंग डेटा एक अस्थायी टेक्स्ट फ़ाइल के अंदर रखा जाएगाप्रारंभ में, फिर एक JSON ऑब्जेक्ट में संग्रहीत, और अंत में 'microsoft_Windows.dll' नामक फ़ाइल के अंदर एन्कोड और लिखा गया।

डेटा को बाहर निकालने से पहले, SysJoker को अपने कमांड-एंड-कंट्रोल (C2, C&C) सर्वर का पता पुनः प्राप्त करना होगा। इस प्रक्रिया में पहला कदम एक एक्सओआर कुंजी का उपयोग करके एक हार्डकोडेड Google ड्राइव लिंक को डीकोड करना है जिसे खतरे में भी हार्डकोड किया गया है। ड्राइव लिंक एक टेक्स्ट फ़ाइल की ओर ले जाता है जिसमें एन्कोडेड C2 पता होता है जो गतिशील रूप से बदलता है। एक सफल कनेक्शन स्थापित करने और पीड़ित के बारे में एकत्रित जानकारी भेजने के बाद, SysJoker अतिरिक्त आदेशों की प्रतीक्षा करेगा।

खतरा कई अलग-अलग कमांड को पहचानने में सक्षम है लेकिन कुछ ('remover_reg' और 'exit') मौजूदा SysJoker संस्करणों में पूरी तरह से लागू नहीं हैं। दो सक्षम कमांड 'exe' और 'cmd' हैं। 'exe' कमांड के माध्यम से हमलावर SysJoker को अतिरिक्त दूषित निष्पादन योग्य लाने और फिर निष्पादित करने का निर्देश दे सकते हैं। आने वाली कमांड में वह निर्देशिका शामिल होगी जहां फ़ाइल को छोड़ा जाना चाहिए और उसका नाम। 'cmd' कमांड सिस्टम पर मनमानी कमांड प्राप्त करने और फिर चलाने के लिए जिम्मेदार है।