SysJoker 백도어

SysJoker 백도어 설명

SysJoker라는 이름으로 대부분 탐지되지 않은 백도어 위협이 Windows, Linux 및 macOS를 실행하는 컴퓨터를 위협하고 있습니다. 맬웨어는 Intezer에 의해 발견되었으며 그들의 발견에 따르면 Linux 및 macOS 변종은 다음과 같습니다.완전히 감지할 수 없는 반면 Windows는 감지율이 매우 낮습니다.

SysJoker와 관련된 첫 번째 공격은 2021년 12월에 발생했으며 '선도 교육 기관'에 속한 Linux 웹 서버를 대상으로 했습니다. 공격자는 다양한 방법으로 SysJoker를 통해 설정된 불법 액세스를 활용할 수 있습니다. 공격을 확대하거나, 새로운 표적을 찾거나, 다른 사이버 범죄 그룹에 백도어 액세스 권한을 판매하기 위해 추가 위협을 배포할 수 있습니다.

기술적 세부 사항

현재 사용 가능한 데이터는 SysJoker의 초기 공격 벡터가 위협적인 npm 패키지를 통할 수 있음을 시사합니다. NPM은 'Node Package Manager'의 약자로 JavaScript의 런타임 Node.js와 관련하여 기본 패키지 관리자입니다. 또한 오픈 소스 Node.js 프로젝트를 게시하기 위한 가장 큰 온라인 리포지토리 중 하나입니다.

SysJoker의 동작은 Linux와 macOS에서 동일하지만 Windows에서는 위협 요소가 전용 1단계 드로퍼를 사용합니다. 대상 장치 내부에 들어가면 백도어가 먼저 1분에서 30분에서 2분 사이의 임의의 기간 동안 휴면 상태를 유지합니다. SysJoker는 사악한 프로그래밍의 각 단계 사이에 이 비활성 모드로 들어갑니다.

위협 요소는 C:\ProgramData\SystemData\ 디렉터리를 생성하고 'igfxCUIService.exe'라는 이름으로 자신을 복사하여 실제 Intel Graphics Common User Interface Service로 나타나려고 시도합니다. 지속성 메커니즘은 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run'에 새 항목을 삽입하여 설정됩니다.

C2 서버 및 명령

SysJoker는 감염된 시스템에 대한 다양한 정보를 수집합니다. 수집된 데이터에는 장치의 MAC 주소, IP 주소 사용자 이름 등이 포함될 수 있습니다. 이 지문 데이터는 임시 텍스트 파일에 저장됩니다.처음에는 JSON 개체에 저장되고 마지막으로 'microsoft_Windows.dll'이라는 파일에 인코딩 및 작성됩니다.

데이터가 유출되기 전에 SysJoker는 명령 및 제어(C2, C&C) 서버의 주소를 검색해야 합니다. 프로세스의 첫 번째 단계는 위협에 하드코딩된 XOR 키를 사용하여 하드코딩된 Google 드라이브 링크를 디코딩하는 것입니다. 드라이브 링크는 동적으로 변경되는 인코딩된 C2 주소가 포함된 텍스트 파일로 연결됩니다. 성공적인 연결을 설정하고 피해자에 대해 수집된 정보를 보낸 후 SysJoker는 추가 명령을 기다립니다.

위협 요소는 여러 다른 명령을 인식할 수 있지만 일부('remover_reg' 및 'exit')는 현재 SysJoker 버전에서 완전히 구현되지 않았습니다. 활성화된 두 명령은 'exe'와 'cmd'입니다. 'exe' 명령을 통해 공격자는 SysJoker에게 추가로 손상된 실행 파일을 가져온 다음 실행하도록 지시할 수 있습니다. 들어오는 명령에는 파일을 삭제해야 하는 디렉터리와 해당 이름이 포함됩니다. 'cmd' 명령은 시스템에서 임의의 명령을 수신하고 실행하는 역할을 합니다.