DiversesäkerhetTeknik och mer

Skräddarsydd skadlig programvara som upptäckts i Windows-, macOS- och Linux-system

7

Varför det är viktigt: I december 2021 identifierade säkerhetsteamet på Intezer skräddarsydd skadlig programvara på en ledande utbildningsinstitutions Linux-webbserver. Skadlig programvara, sedan namnet SysJoker, upptäcktes senare även ha Mac- och Windows-baserade varianter, vilket ökar dess förmåga att infektera önskade system. MacOS- och Linux-variationerna går för närvarande inte att upptäcka av de flesta antivirusprodukter och skannrar.

Den specialskrivna, C++-baserade fjärråtkomsttrojanen (RAT) som gick helt oupptäckt i flera månader kan ha släppts runt mitten till slutet av 2021. Programmet heter SysJoker av Intezers säkerhetsteam och döljer sig som en systemuppdatering i målets OS-miljö. Varje variant av skadlig programvara är skräddarsydd för operativsystemet den riktar sig till, av vilka många har visat sig vara svåra eller omöjliga att upptäcka. Enligt VirusTotal, en antivirus- och skanningsmotoraggregator, är macOS- och Linux-versionerna av programmet fortfarande oupptäckbara.

RAT:s beteende är liknande för alla påverkade operativsystem. När den väl har körts skapar och kopierar den sig själv till en specifik katalog som maskerar sig som Intels Graphics Common User Interface Service, igfxCUIService.exe. Efter att flera andra åtgärder har utförts kommer programmet att börja samla in maskininformation såsom MAC-adress, serienummer och IP-adresser.

Intezers blogginlägg ger en fullständigt detaljerad förklaring av skadlig programvaras beteende, avkodnings- och kodningsscheman och kommando- och kontrollinstruktioner (C2).

Bloggen ger läsarna detekterings- och svarssteg som kan följas för att avgöra om din organisation äventyras och vilka nästa steg att ta. Intezer Protect kan användas för att skanna efter skadlig kod på Linux-baserade system. Företaget tillhandahåller en ree community-utgåva av produkten för att utföra skanningar. Windows-system rekommenderas att använda Intezers slutpunktsskanner. Ägare av komprometterade system rekommenderas att:

  • Döda processerna relaterade till SysJoker och ta bort den relevanta persistensmekanismen och alla filer relaterade till SysJoker
  • Kör en minnesskanning på den infekterade maskinen
  • Undersök den första ingångspunkten för skadlig programvara
  • Om en server var infekterad med SysJoker, under denna undersökning, kontrollera:
  • Kontrollera konfigurationsstatus och lösenordskomplexitet för offentligt vända tjänster på infekterade servrar
  • Kontrollera programvaruversioner och kända exploateringar som påverkar infekterade servrar

Analys av de organisationer som riktar sig till, och RAT:s designade beteende, får forskare att tro att SysJoker är ett verk av en avancerad hotaktör som riktar sig mot specifika organisationer i syfte att spionera och potentiellt ransomware-attacker.

Inspelningskälla: www.techspot.com
You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More