بهتازگی یک بدافزار جدید چند پلتفرمی درب پشتی به نام “SysJoker” کشفشده است که بدون اینکه شناسایی شود، ویندوز، لینوکس و macOS را هدف قرار میدهد.
به گزارش مرکز مدیریت راهبردی افتا، این بدافزار برای اولین بار در دسامبر ۲۰۲۱ کشف و پس از بررسیهای صورت گرفته در رابطه با حمله به یکی از سرورهای لینوکس، نشانههای فعالیت آن مشاهده شد.
بارگذاری اولیه نمونه بدافزار در VirusTotal در H۲ ۲۰۲۱ رخ داد که با زمان ثبت دامنه C۲ نیز مطابقت دارد.
این بدافزار به زبان C++ نوشته و هر نسخه آن برای سیستمعامل مشخصی طراحیشده است. بااینوجود، در VirusTotal، شناسایی نمیشود.
در سیستمعامل ویندوز، SysJoker از دستورات PowerShell برای انجام کارهای زیر استفاده میکند:
– واکشی SysJoker ZIP از یک مخزن GitHub،
– خارج کردن “\C:\ProgramData\RecoverySystem” از حالت فشرده،
– اجرای محتوای موردنظر.
سپس بدافزار قبل از ایجاد دایرکتوری جدید تا دو دقیقه بهصورت غیرفعال نشان داده میشود (به یک خواب نمادین فرو میرود) و در همین زمان خود را بهعنوان یک سرویس رابط کاربری مشترک گرافیک Intel (“igfxCUIService.exe”) کپی میکند.
به استناد مراجع معتبر: ” SysJoker با استفاده از دستورات Living off the Land (LOtl) اطلاعاتی را در مورد دستگاه موردنظر جمعآوری و از فایلهای متنی موقتی برای ثبت نتایج دستورات استفاده میکند.”
این فایلهای متنی بهسرعت حذفشده، در یک JSON ذخیره و سپس کدگذاری شده و در فایلی به نام “Microsoft_Wndows.dll” ثبت میشوند.
پس از جمعآوری دادههای سیستم و شبکه، بدافزار با افزودن یک کلید رجیستری جدید (HKEY_CURRENT_USER\Software\Windows\Current\Version\Run) ثبات موردنیاز خود را ایجاد میسازد. وقفههای تصادفی نیز بین تمام عملکردهایی که به این نقطه منتهی میشود قرار میگیرند.
گام بعدی برای بدافزار، دسترسی به سرور C۲ تحت کنترل است که از یک لینک گوگل درایو کدگذاری شده استفاده میکند.
لینک موردنظر میزبان یک فایل “domain.txt” است که بهطور منظم بهروز میشوند تا سرورهای موجود را برای Beaconهای فعال ارائه کنند. این لیست دائماً در حال تغییر است تا از شناسایی و مسدود شدن آن جلوگیری شود.
اطلاعات جمعآوریشده سیستم در مراحل اول آلودگی بهعنوان شروع ارتباط اولیه بین دو دستگاه (handshaking) به C۲ ارسال میشود. C۲ در پاسخ با یک توکن منحصربهفرد بهعنوان شناسه نقطه پایانی آلوده عمل میکند.
از آنجا، C۲ ممکن است به درب پشتی دستور دهد تا بدافزار اضافی را نصب کند، دستورات را روی دستگاه آلوده اجرا کند، یا به درب پشتی دستور دهد تا خود را از دستگاه حذف کند. هر چند آن دو دستورالعمل آخر هنوز اجرا نشدهاند.
انواع سیستمعاملهای لینوکس و macOS دارای عملکرد Dropper در مرحله اول به شکل DLL نیستند، اما در نهایت همان رفتار مخرب را روی دستگاه آلودهشده انجام میدهند.
تشخیص و پیشگیری
نشانههای آلودگی (IOCs) که مدیران میتوانند از آنها برای تشخیص حضور SysJoker در دستگاه آلوده استفاده کنند، عبارتند از:
در سیستمعامل ویندوز، فایلهای بدافزار در پوشه “C:\ProgramData\RecoverySystem”، C:\ProgramData\SystemData\igfxCUIService.exe و C:\ProgramData\SystemData\microsoft_Windows.dll قرار دارند. در ادامه برای تداوم بیشتر، بدافزار یک مقدار Autorun “Run” از “igfxCUIService” ایجاد میکند که فایل اجرایی بدافزار igfxCUIService.exe را راهاندازی میکند.
در سیستمعامل لینوکس، فایلها و دایرکتوریها با عنوان “/.Library/” ایجاد میشوند، درحالیکه ماندگاری آنها با ایجاد corn job زیر ایجاد میشود:
reboot (/.Library/SystemServices/updateSystem).@
در سیستمعامل macOS، فایلها در “/.Library/” ایجاد میشوند و ماندگاری آنها از طریق LaunchAgent در مسیر: /Library/LaunchAgents/com.apple.update.plist به دست میآید.
دامنههای C۲ به شرح زیر است:
https[://]bookitlab[.]tech
https[://]winaudio-tools[.]com
https[://]graphic-updater[.]com
https[://]github[.]url-mini[.]com
https[://]office۳۶۰-update[.]com
https[://]drive[.]google[.]com/uc?export=download&id=۱-NVty۴YX۰dPHdxkgMrbdCldQCpCaE-Hn
https[://]drive[.]google[.]com/uc?export=download&id=۱W۶۴PQQxrwY۳XjBnv_QaeBQu-ePr۵۳۷eu
درصورتیکه متوجه شدید سیستم شما توسط SysJoker به خطر افتاده است، این سه مرحله را دنبال کنید:
۱. تمام فرایندهای مربوط به بدافزار را از بین ببرید و فایلها و مکانیسم پایداری مربوطه را بهصورت دستی حذف کنید.
۲. یک اسکنر حافظه را اجرا کنید تا مطمئن شوید که همه فایلهای مخرب از سیستم آلوده حذفشدهاند.
۳. نقاط ورودی احتمالی را بررسی کنید و پس از بررسی تنظیمات فایروال همه ابزارهای نرمافزار را به آخرین نسخه موجود بهروزرسانی کنید.
منبع:
دیدگاه شما