xlivedllwin7-()
来源:191路由网 2022-12-28 16:19:41
一、 小白剧场
小白:东哥,安全人又要开始新的一年的打工了。
大东:不知道今年有哪些安全事件可以刷新历史,也具备新年新气象。
小白:我希望安全防护人员技术可以突破,但是不要造成什么损失,尤其是什么勒索软件,电脑的资料可是很重要的。
大东:除了勒索软件,恶意软件、撞库等也可以造成资料的泄露,我们个人使用者平时一定注意备份、及时更新、小心踩雷。
小白:嗯嗯,没错。不过我感觉安全界攻击和防护其实是相辅相成的,新的攻击出现,然后就有了新的防护措施,再根据此防护措施找到新的漏洞,就是这样迭代往复技术才发展的。
大东:是的,不过魔高一尺,道高一丈,也不用太担心了。
小白:今年才开始,我就看到一个新闻,说是出现了通杀三平台的恶意软件,三平台就是windows、linux和mac os,感觉还蛮厉害的。东哥你有没有了解过这个软件?
大东:我也关注了这个事件,而且还小小地了解了一下。
小白:东哥你太谦虚了,我知道你肯定了解得蛮多的,给我讲一讲吧。
大东:那就简单说一下吧,有些地方可能还需要你再查一查。
小白:好的好的。
大东:那我们就先从这个软件的发现过程说起吧。
小白:好的好的,搬来我的小板凳。
二、 话说事件
大东:首先是来自安全公司 Intezer 的研究人员发现,有一家从事教育行业的公司中了病毒。
小白:然后研究人员就开始对病毒进行分析,这一分析可不得了。东哥我贫一下,你继续。
大东:没错,他们确实是对此病毒进行了分析。首先是对域名进行了分析,并且通过和病毒库的信息进行比对,然后发现这个恶意软件竟然已经存活了半年,只不过是最近才被发现并且检测出来。
小白:欸,啥情况?
大东:说明这个病毒很狡猾啊,这个恶意软件名称为SysJoker。
(图片来源于网络)
小白:这个电脑应该是System 和 Joker两个单词组成的名字,很形象嘛。
大东:没错,而且这个病毒十分狡猾且隐匿,之前在高达 57 个不同的反病毒检测引擎上都未被检测到。
(图片来源于网络)
小白:哇哦,这个病毒有点厉害哦。
大东:SysJoker 是由 C++ 编写的,而该病毒的每一个不同的变体都会特定地针对目标操作系统。这也可能是其不被检测到的原因吧。
小白:嗯,今天开始学编程,明日我也能写出这样的代码。哈哈哈。那被这个病毒感染之后会怎么样呢?
大东:SysJoker 的核心部分TypeScript 文件,其后缀名为 \".ts\" 。SysJoker 一旦感染就可以远程控制目标,从而方便进一步攻击,比如植入勒索病毒。
小白:哦吼,好可怕。东哥,你能详细讲一下感染步骤吗?
大东:好的,别急,嗯嗯。
小白:好嘞。
三、 大话始末
大东:它在三个平台的感染步骤类似,我们选取一个平台讲解吧,你想听哪个平台呢?
小白:嗯,我使用的是windows平台,不如就windows吧。
大东:好的,那就以它为例吧。首先,这个病毒会伪装成windows更新。 电脑
小白:有点机智,毕竟windows天天更新。
大东:没错,一旦用户把该病毒错认为更新文件而开始运行,它就会随机睡眠 90 到 120 秒,然后在 C:\ProgramData\SystemData\ 目录下复制自己,并改名为 igfxCUIService.exe,将自己伪装成英特尔图形通用用户界面服务。
小白:这又是这个病毒的一个伪装之处,将它的界面换了。
大东:没错,这样增加了它的隐蔽性,然后它就开始侦探信息了。
小白:可以理解成先收集收集消息吗?然后再根据信息实施下一步计划。
大东:没错,他会收集这些信息,包括用户名、物理媒体序列号、MAC 地址和 IP 地址等。
小白:使用什么命令进行收集呢?
大东:它使用 Live off the Land(LOtL)命令收集被攻击目标的信息。
小白:拿小本本记下,之后我要查查这个命令。那它收集的信息会记录到哪里呢?
大东:该病毒还会记录命令的结果到不同的临时文本文件中。而且这些文本文件会马上删除,然后存储到 JSON 对象中,编码并写入名为 microsoft_windows.dll 的文件。
小白:那这一系列的操作过程如何被监测到了怎么办?就是系统发现有不正常的运行。
大东:这个问题恶意软件编写者也考虑到了,在执行这些步骤的时候,会在程序中添加随机休眠的行为,这样就难以被发现了。
小白:机智,我又想到了一个问题,上面存的文件被删除了怎么办?
大东:为了避免辛苦收集的信息不被删除,SysJoker 收集之后软电脑件向注册表添加键值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,这一行为是为了保证病毒的持久性。
小白:每一个步骤都很严密呀。
大东:收集到信息之后,此时恶意软件就会传回信息,与控制端建立通信了。
小白:这就是远程控制(C2)通信吧。
大东:没错,通过分析发现,Google Drive 链接指向一个名为 \"domain.txt\" 的以编码形式保存的远程控制文本文件。
(图片来源于网络)
小白:可怕可怕。
大东:在 Windows 系统上,只要感染的过程完成,SysJoker 就可以远程运行包括如 \"exe\"、\"cmd\"、\"remove_reg\" 这样的可执行文件。
小白:变成了被控制的一台机器。
大东:在对病毒的分析过程中,研究人员发现其服务器地址更改了三次,这一现象说明攻击者是时刻活动着的,并且正在监控被感染的目标。
小白:更害怕了,那我们要怎么查杀此恶意软件呢?尤其刚才说这个恶意软件逃掉了很多杀毒软件的检测。
四、 小白内心说
大东:不要担心,发现该病毒的 Intezer 公司提供了一些检测的方法。
小白:什么呢?
大东:我们可以使用内存扫描工具检测内存中的 SysJoker 有效负载,或者在 EDR 或 SIEM 中搜索被检测内容。
小白:欸,还是有点不明白啊。
大东:没错,我是只给你指出了方法,需要你自己在Intezer官网在查查,自己动手查找知识才学得更快,还有你刚才说得要学习的命令,下次我要检查你是否学习了。
小白:唉,虽然东哥你说得没错,但是一开年就有作业,唉。
大东:嗯?
小白:没有意见,保证完成任务!
大东:而且 Intezer 也发布了手动杀死该病毒的方法。
小白:我想,应该要删除上面提到的注册表内容吧。
大东:没错,首先杀死与 SysJoker 相关的进程,之后删除与其关联的注册表键值和与该病毒相关的所有的文件。
小白:具体的操作我也自行去官网查看,明白了。
大东:小白,你非常的自觉嘛,值得鼓励。
小白:欸,我进步了,东哥,你说还有什么任务?
大东:嗯…既然我这次说了windows,那么你就查下linux还有mac吧,期待你的成果。
小白:保证完成!下次我会汇报的。
参考资料:
1. 恶意软件伪装成系统更新,通杀 Win Mac Linux 三大系统,隐藏半年才被发现 https://new.qq.com/omn/20220117/20220117A0CV1J00.html
2. 恶意软件伪装成系统更新 https://www.51cto.com/article/699432.html
3. SysJoker恶意软件病毒
https://blog.csdn.net/Px01Ih8/article/details/122677477
来源:中国科学院信息工程研究所
电脑
相关阅读
-
-
xlivedllwin7-()
()一、小白剧场小白:东哥,安全人又要开始新的一年的打工了。大东:不知道今年有哪些安全事件可以刷新历史,也具备新年新气象。小白:我希望安全防护人员技术可以突破,但是不要造成什么损失,尤其是什么勒索软件,电脑的资料可是很重要的。大东:除了勒索软件,恶意软件、撞库等也可以造成资料的泄露,我们个人使用者平时一定注意备份、及时更新、小心踩雷。小白:嗯嗯,没...
2022-12-28
-
-
win7启用共享打印机共享打印机-(win7开启打印机共享)
(win7开启打印机共享)局域网内有连接打印机的电脑将打印机设置共享,局域网内其它需要连接打印机的电脑找到前面已将打印机共享出来电脑,进行连接后即可进行打印,下面以win7系统为例注:1.已安装打印机电脑与需要连接打印机电脑都必须在同一个局域网内2.已安装打印机的电脑与打印机电源必须是已开机状态下面介绍如何局域网内打印机共享的设置步骤进行图文详解,主要分为两大部分第一部分共享在已安装连接打...
2022-12-28
-
-
u盘启动装系统看不到本地盘-(u盘启动装系统看不到本地盘的文件)
(u盘启动装系统看不到本地盘的文件)哈喽,大家好!我们在学习弱电系统知识的时候会涉及到很多有关电脑方面的知识。所以,这期我会讲解一些有关电脑方面的基础知识与大家一起分享学习。对于很多人来说,在装系统过程中难免遇到各类问题,其中最让人头疼的就是BIOS...
2022-12-28
-
-
不用u盘破电脑密码-(不用u盘破电脑密码会怎么样)
(不用u盘破电脑密码会怎么样)很多小伙伴电脑都有这样的问题,设置了密码忘记了,或者长时间不用把密码给忘记了,还有办公室同事离职没有交电脑密码,那么解决方法是什么呢?通常网上的方法是用启动U盘,有的启动U盘不一定适用于主板。今天介绍不用U盘解决密码问题的方法。WIN7系统漏洞!!!!!这个在WIN8/WIN10上已经没有这个漏洞问...
2022-12-28
-
-
win7win10引导修复工具下载-()
()电脑安装驱动程序有多种途径,而有的驱动程序难免有Bug,有时候驱动直接升级或者卸载不干净的时候会造成故障,喜欢用Beta版或者追新驱动的更容易出这种问题,所以需要完全卸载干净。但是由于驱动程序涉及到系统的底层往往很难干净彻底的进行卸载,所以我们只能借助于“UniversalWind...
2022-12-28
191路由网 - 192.168.1.1,192.168.0.1无线路由器设置教程
版权声明:本站的文章和图片来自互联网收集,仅做分享之用如有侵权请联系站长,我们将在24小时内删除