能同時攻擊 Windows、Mac、Linux 三大作業系統的惡意軟體出現了。雖然“全平臺通殺”病毒並不常見，但是安全公司 Intezer 的研究人員發現，有家教育公司在上個月中了招。

更可怕的是，他們通過分析域名和病毒庫發現，這個惡意軟體已經存在半年之久，只是直到最近才被檢測到。他們把這個惡意軟體命名為 SysJoker。

SysJoker 核心部分是字尾名為“.ts”的 TypeScript 檔案，一旦感染就能被遠端控制，方便黑客進一步後續攻擊，比如植入勒索病毒。SysJoker 用 C++ 編寫，每個變體都是為目標作業系統量身定製，之前在 57 個不同反病毒檢測引擎上都未被檢測到。

那麼 SysJoker 到底是如何通殺三大系統的？

SysJoker 的感染步驟

SysJoker 在三種作業系統中的行為類似，下面將以 Windows 為例展示 SysJoker 的行為。

首先，SysJoker 會偽裝成系統更新。一旦使用者將其誤認為更新檔案開始執行，它就會隨機睡眠 90 到 120 秒，然後在 C:\ProgramData\SystemData\ 目錄下複製自己，並改名為 igfxCUIService.exe，偽裝成英特爾圖形通用使用者介面服務。

接下來，它使用 Live off the Land（LOtL）命令收集有關機器的資訊，包括 MAC 地址、使用者名稱、物理媒體序列號和 IP 地址等。SysJoker 使用不同的臨時文字檔案來記錄命令的結果。這些文字檔案會立即刪除，儲存在 JSON 物件中，然後編碼並寫入名為 microsoft_windows.dll 的檔案。

此外，SysJoker 收集之後軟體向登錄檔新增鍵值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 保證其持久存在。

在上述每個步驟之間，惡意軟體都會隨機睡眠，防止被檢測到。接下來，SysJoker 將開始建立遠端控制（C2）通訊。方式是通過下載從 Google Drive 託管的文字檔案，來生成遠端控制。

Google Drive 連結指向一個名為“domain.txt”的文字檔案，這是以編碼形式儲存的遠端控制檔案。在 Windows 系統上，一旦感染完成，SysJoker 就可以遠端執行包括“exe”、“cmd”、“remove_reg”在內的可執行檔案。

而且研究人員在分析期間發現，以上伺服器地址更改了三次，表明攻擊者處於活動狀態，並監控了受感染的機器。

如何查殺 SysJoker

儘管 SysJoker 現在被防毒軟體檢測出的概率很低，但發現它的 Intezer 公司還是提供了一些檢測方法。使用者可以使用記憶體掃描工具檢測記憶體中的 SysJoker 有效負載，或者使用檢測內容在 EDR 或 SIEM 中搜索。具體操作方法可以參見 Intezer 網站。

已經感染的使用者也不要害怕，Intezer 也提供了手動殺死 SysJoker 的方法。使用者可以殺死與 SysJoker 相關的程序，刪除相關的登錄檔鍵值和與 SysJoker 相關的所有檔案。Linux 和 Mac 的感染路徑不同，使用者可以在 Intezer 查詢到這些引數，分析自己的電腦是否被感染。

參考連結：

[1]https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/

[2]https://arstechnica.com/information-technology/2022/01/backdoor-for-windows-macos-and-linux-went-undetected-until-now/