日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
惡意軟件偽裝成系統(tǒng)更新,通殺WinMacLinux三大系統(tǒng)

 本文經(jīng)AI新媒體量子位(公眾號(hào)ID:QbitAI)授權(quán)轉(zhuǎn)載,轉(zhuǎn)載請(qǐng)聯(lián)系出處。

成都創(chuàng)新互聯(lián)專注于吉利網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供吉利營(yíng)銷型網(wǎng)站建設(shè),吉利網(wǎng)站制作、吉利網(wǎng)頁(yè)設(shè)計(jì)、吉利網(wǎng)站官網(wǎng)定制、小程序制作服務(wù),打造吉利網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供吉利網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

能同時(shí)攻擊Windows、Mac、Linux三大操作系統(tǒng)的惡意軟件出現(xiàn)了。

雖然“全平臺(tái)通殺”病毒并不常見,但是安全公司Intezer的研究人員發(fā)現(xiàn),有家教育公司在上個(gè)月中了招。

更可怕的是,他們通過分析域名和病毒庫(kù)發(fā)現(xiàn),這個(gè)惡意軟件已經(jīng)存在半年之久,只是直到最近才被檢測(cè)到。

他們把這個(gè)惡意軟件命名為SysJoker

SysJoker核心部分是后綴名為“.ts”的TypeScript文件,一旦感染就能被遠(yuǎn)程控制,方便黑客進(jìn)一步后續(xù)攻擊,比如植入勒索病毒。

SysJoker用C++編寫,每個(gè)變體都是為目標(biāo)操作系統(tǒng)量身定制,之前在57個(gè)不同反病毒檢測(cè)引擎上都未被檢測(cè)到。

那么SysJoker到底是如何通殺三大系統(tǒng)的?

SysJoker的感染步驟

SysJoker在三種操作系統(tǒng)中的行為類似,下面將以Windows為例展示SysJoker的行為。

首先,SysJoker會(huì)偽裝成系統(tǒng)更新。

一旦用戶將其誤認(rèn)為更新文件開始運(yùn)行,它就會(huì)隨機(jī)睡眠90到120秒,然后在C:\ProgramData\SystemData\目錄下復(fù)制自己,并改名為igfxCUIService.exe,偽裝成英特爾圖形通用用戶界面服務(wù)。

接下來,它使用Live off the Land(LOtL)命令收集有關(guān)機(jī)器的信息,包括MAC地址、用戶名、物理媒體序列號(hào)和IP地址等。

SysJoker使用不同的臨時(shí)文本文件來記錄命令的結(jié)果。這些文本文件會(huì)立即刪除,存儲(chǔ)在JSON對(duì)象中,然后編碼并寫入名為microsoft_windows.dll的文件。

此外,SysJoker收集之后軟件向注冊(cè)表添加鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run保證其持久存在。

在上述每個(gè)步驟之間,惡意軟件都會(huì)隨機(jī)睡眠,防止被檢測(cè)到。

接下來,SysJoker將開始建立遠(yuǎn)程控制(C2)通信。

方式是通過下載從Google Drive托管的文本文件,來生成遠(yuǎn)程控制。

Google Drive鏈接指向一個(gè)名為“domain.txt”的文本文件,這是以編碼形式保存的遠(yuǎn)程控制文件。

在Windows系統(tǒng)上,一旦感染完成,SysJoker就可以遠(yuǎn)程運(yùn)行包括“exe”、“cmd”、“remove_reg”在內(nèi)的可執(zhí)行文件。

而且研究人員在分析期間發(fā)現(xiàn),以上服務(wù)器地址更改了三次,表明攻擊者處于活動(dòng)狀態(tài),并監(jiān)控了受感染的機(jī)器。

如何查殺SysJoker

盡管SysJoker現(xiàn)在被殺毒軟件檢測(cè)出的概率很低,但發(fā)現(xiàn)它的Intezer公司還是提供了一些檢測(cè)方法。

用戶可以使用內(nèi)存掃描工具檢測(cè)內(nèi)存中的SysJoker有效負(fù)載,或者使用檢測(cè)內(nèi)容在EDR或SIEM中搜索。具體操作方法可以參見Intezer網(wǎng)站。

已經(jīng)感染的用戶也不要害怕,Intezer也提供了手動(dòng)殺死SysJoker的方法。

用戶可以殺死與SysJoker相關(guān)的進(jìn)程,刪除相關(guān)的注冊(cè)表鍵值和與SysJoker相關(guān)的所有文件。

Linux和Mac的感染路徑不同,用戶可以在Intezer查詢到這些參數(shù),分析自己的電腦是否被感染。


網(wǎng)站標(biāo)題:惡意軟件偽裝成系統(tǒng)更新,通殺WinMacLinux三大系統(tǒng)
網(wǎng)站路徑:http://www.5511xx.com/article/djhghoc.html