SekalaistaTekniikka ja paljon muutaTurvallisuus

Räätälöityjä haittaohjelmia löydetty Windows-, macOS- ja Linux-järjestelmistä

7

Miksi sillä on merkitystä: Intezerin tietoturvatiimi tunnisti joulukuussa 2021 räätälöityjä haittaohjelmia johtavan oppilaitoksen Linux-verkkopalvelimelta. SysJoker-nimistä haittaohjelmalla havaittiin myöhemmin olevan myös Mac- ja Windows-pohjaisia ​​muunnelmia, mikä lisäsi sen kykyä tartuttaa haluttuja järjestelmiä. Useimmat virustorjuntatuotteet ja skannerit eivät tällä hetkellä pysty havaitsemaan macOS- ja Linux-muunnelmia.

Räätälöity C++-pohjainen etäkäyttötroijalainen (RAT), jota ei havaittu useiden kuukausien ajan, on saatettu julkaista vuoden 2021 puolivälin ja lopun tienoilla. Intezerin tietoturvatiimi nimesi SysJoker-ohjelman, ja se piiloutuu järjestelmäpäivitykseksi kohteen käyttöjärjestelmäympäristöön.. Jokainen haittaohjelman muunnelma on räätälöity sen kohteena olevan käyttöjärjestelmän mukaan, ja monet niistä ovat osoittautuneet vaikeaksi tai mahdottomaksi havaita. VirusTotalin, virustorjunta- ja skannauskonekokoojan, mukaan ohjelman macOS- ja Linux-versiot ovat edelleen havaittavissa.

RAT:n käyttäytyminen on samanlainen kaikissa vaikutuksen alaisissa käyttöjärjestelmissä. Kun se on suoritettu, se luo ja kopioi itsensä tiettyyn hakemistoon, joka naamioituu Intelin Graphics Common User Interface Service -palveluksi, igfxCUIService.exe. Kun useita muita toimintoja on suoritettu, ohjelma alkaa kerätä koneen tietoja, kuten MAC-osoite, sarjanumerot ja IP-osoitteet.

Intezerin blogikirjoitus sisältää täysin yksityiskohtaisen selityksen haittaohjelman käyttäytymisestä, dekoodaus- ja koodausmenetelmistä sekä komento- ja ohjausohjeista (C2).

Blogi tarjoaa lukijoille havaitsemis- ja vastausvaiheet, joiden avulla voidaan määrittää, onko organisaatiosi vaarantunut ja mitä seuraavaksi tehdä. Intezer Protectia voidaan käyttää haitallisen koodin etsimiseen Linux-pohjaisissa järjestelmissä. Yritys tarjoaa tuotteen af ​​ree Community Edition skannausten suorittamista varten. Windows-järjestelmiä kehotetaan käyttämään Intezerin päätepisteskanneria. Vaarallisten järjestelmien omistajia kehotetaan:

  • Tapa SysJokeriin liittyvät prosessit ja poista asianmukainen pysyvyysmekanismi ja kaikki SysJokeriin liittyvät tiedostot
  • Suorita muistin tarkistus tartunnan saaneelle koneelle
  • Tutki haittaohjelman aloituskohtaa
  • Jos palvelin on saanut SysJoker-tartunnan, tarkista tämän tutkimuksen aikana:
  • Tarkista tartunnan saaneiden palvelimien julkisten palveluiden määrityksen tila ja salasanan monimutkaisuus
  • Tarkista ohjelmistoversiot ja tunnetut hyväksikäytöt, jotka vaikuttavat tartunnan saaneisiin palvelimiin

Kohteen kohteena olevien organisaatioiden ja RAT:n suunnitteleman toiminnan analyysi saa tutkijat uskomaan, että SysJoker on edistyneen uhkatoimijan työ, joka kohdistuu tiettyihin organisaatioihin vakoilua ja mahdollisia kiristysohjelmahyökkäyksiä varten.

You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More