BezpieczeństwoRóżnorodnyTechnologia i nie tylko

Niestandardowe złośliwe oprogramowanie wykryte w systemach Windows, macOS i Linux

Od
0 8

Dlaczego to ma znaczenie: W grudniu 2021 r. zespół ds. bezpieczeństwa firmy Intezer zidentyfikował złośliwe oprogramowanie napisane na zamówienie na serwerze sieciowym Linux wiodącej instytucji edukacyjnej. Złośliwe oprogramowanie, od tego czasu nazwane SysJoker, później odkryto, że ma również odmiany dla komputerów Mac i Windows, co zwiększa jego zdolność do infekowania pożądanych systemów. Odmiany macOS i Linux są obecnie niewykrywalne przez większość produktów antywirusowych i skanerów.

Napisany na zamówienie trojan zdalnego dostępu (RAT), oparty na języku C++, który pozostawał całkowicie niewykryty przez kilka miesięcy, mógł zostać wydany mniej więcej od połowy do końca 2021 r. Nazwany SysJoker przez zespół ds. bezpieczeństwa firmy Intezer, program ukrywa się jako aktualizacja systemu w środowisku systemu operacyjnego celu. Każda odmiana złośliwego oprogramowania jest dostosowana do systemu operacyjnego, którego dotyczy, z których wiele okazało się trudnych lub niemożliwych do wykrycia. Według VirusTotal, agregatora oprogramowania antywirusowego i silnika skanowania, wersje programu dla systemów macOS i Linux są nadal niewykrywalne.

Zachowanie RAT jest podobne we wszystkich systemach operacyjnych, których dotyczy problem. Po uruchomieniu tworzy się i kopiuje do określonego katalogu, podszywając się pod usługę wspólnego interfejsu użytkownika grafiki firmy Intel, igfxCUIService.exe. Po wykonaniu kilku innych czynności program rozpocznie zbieranie informacji o urządzeniu, takich jak adres MAC, numery seryjne i adresy IP.

Wpis na blogu firmy Intezer zawiera w pełni szczegółowe wyjaśnienie zachowania złośliwego oprogramowania, schematów dekodowania i kodowania oraz instrukcji dowodzenia i kontroli (C2).

Blog zapewnia czytelnikom kroki wykrywania i reagowania, które można wykonać, aby ustalić, czy Twoja organizacja została naruszona i jakie dalsze kroki należy podjąć. Intezer Protect może być używany do skanowania w poszukiwaniu złośliwego kodu w systemach opartych na systemie Linux. Firma udostępnia af ree community edition produktu do przeprowadzania skanów. Zaleca się, aby systemy Windows korzystały ze skanera punktów końcowych firmy Intezer. Właścicielom zaatakowanych systemów zaleca się:

  • Zabij procesy związane z SysJoker i usuń odpowiedni mechanizm trwałości oraz wszystkie pliki związane z SysJoker
  • Uruchom skanowanie pamięci na zainfekowanej maszynie
  • Zbadaj początkowy punkt wejścia złośliwego oprogramowania
  • Jeśli serwer został zainfekowany SysJokerem, w trakcie tego dochodzenia sprawdź:
  • Sprawdź stan konfiguracji i złożoność hasła dla usług dostępnych publicznie na zainfekowanych serwerach
  • Sprawdź wersje oprogramowania i znane exploity mające wpływ na zainfekowane serwery

Analiza atakowanych organizacji i zachowanie zaprojektowane przez RAT prowadzi badaczy do przekonania, że ​​SysJoker jest dziełem zaawansowanego aktora atakującego określone organizacje w celu szpiegowania i potencjalnie ataków ransomware.

Źródło nagrywania: www.techspot.com
0 posts 473 comments
Może Ci się spodobać Więcej od autora
Leave A Reply

Your email address will not be published.

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów