SysJoker Backdoor

SysJoker Backdoor說明

一個名為 SysJoker 的幾乎未被發現的後門威脅正在威脅運行 Windows、Linux 和 macOS 的計算機。該惡意軟件是由 Intezer 發現的,根據他們的發現,Linux 和 macOS 變種是完全無法檢測到,而 Windows 的檢測率極低。

第一次涉及 SysJoker 的攻擊發生在 2021 年 12 月,目標是屬於“領先教育機構”的 Linux 網絡服務器。攻擊者可以通過各種不同的方式利用通過 SysJoker 建立的非法訪問。他們可以部署額外的威脅來升級攻擊、尋找新目標,甚至將後門訪問權限出售給其他網絡犯罪集團。

技術細節

目前可用的數據表明,SysJoker 的初始攻擊向量可能是通過一個威脅性的 npm 包。 NPM 代表“Node Package Manager”,它是 JavaScript 運行時 Node.js 的默認包管理器。它也是用於發布開源 Node.js 項目的最大在線存儲庫之一。

SysJoker 在 Linux 和 macOS 上的行為是相同的,而在 Windows 上,威脅利用了專用的第一階段釋放器。一旦進入目標設備,後門將首先處於休眠狀態一段隨機時間,介於一分半到兩分鐘之間。 SysJoker 將在其惡意編程的每一步之間進入這種非活動模式。

威脅將創建 C:\ProgramData\SystemData\ 目錄並將其自身複製到名稱“igfxCUIService.exe”下,試圖以真正的英特爾圖形通用用戶界面服務的形式出現。將通過向“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”注入新條目來建立持久性機制。

C2 服務器和命令

SysJoker 將收集有關受感染系統的各種信息。收集的數據可能包括設備的 MAC 地址、IP 地址用戶名等。該指紋數據將被放置在一個臨時文本文件中最初,然後存儲在 JSON 對像中,最後編碼並寫入名為“microsoft_Windows.dll”的文件中。

在數據被洩露之前,SysJoker 必須檢索其命令和控制(C2、C&C)服務器的地址。該過程的第一步是使用 XOR 密鑰對硬編碼的 Google Drive 鏈接進行解碼,該 XOR 密鑰也被硬編碼到威脅中。 Drive 鏈接指向一個包含動態更改的編碼 C2 地址的文本文件。建立成功連接並發送收集到的受害者信息後,SysJoker 將等待其他命令。

該威脅能夠識別多個不同的命令,但一些(“remover_reg”和“exit”)在當前的 SysJoker 版本中沒有完全實現。兩個啟用的命令是“exe”和“cmd”。通過“exe”命令,攻擊者可以指示 SysJoker 獲取並執行其他損壞的可執行文件。傳入的命令將包括文件應該被刪除的目錄及其名稱。 “cmd”命令負責接收然後在系統上運行任意命令。