Windows・macOS・Linuxを標的にするバックドアマルウェア「SysJoker」が報告される

GIGAZINE



Windows・macOS・Linuxを標的とするマルチプラットフォームのバックドアマルウェア「SysJoker」が発見されたと、セキュリティ企業のIntezerが報告しています。2021年12月にはSysJokerによる攻撃が、Linuxベースのウェブサーバーで確認されているとのことです。

New SysJoker Backdoor Targets Windows, Linux, and macOS – Intezer
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/

New SysJoker backdoor targets Windows, macOS, and Linux
https://www.bleepingcomputer.com/news/security/new-sysjoker-backdoor-targets-windows-macos-and-linux/

SysJokerはC++でコーディングされており、亜種は標的となるOSに合わせて作られているとのこと。57種類のアンチウイルス検出エンジンを使用しているオンラインマルウェアスキャンサイト「VirusTotal」では、亜種を含めたSysJokerのすべてが検出されませんでした。


Windowsの場合、DLL形式のドロッパーがPowerShellコマンドを使ってGitHubのリポジトリからSysJokerのZIPファイルを取得します。そして、C:ProgramData\RecoverySystem\にZIPファイルを解凍し、ペイロードを実行。その後、SysJokerは最大2分間のスリープを挟んでから新しいディレクトリを作成し、「Intel Graphics Common User Interface Service(igfxCUIService.exe)」という名前で自分自身をコピーします。

次にSysJokerは、Living off the Landという手法を使って、MACアドレスやIPアドレス、ユーザー名、物理メディアのシリアルナンバーなどの情報を収集します。テキストファイルを使って結果を記録してから、jsonオブジェクトに格納してテキストファイルを削除し、エンコードして「microsoft_Windows.dll」というファイルに書き込まれます。

以下はSysJokerによってメモリに書き込まれたjsonオブジェクトを示しています。


データを収集した後、SysJokerは「HKEY_CURRENT_USER\Software\MicrosoftWindows\CurrentVersion\Run」という新しいレジストリキーを追加し、プログラムの永続化を行います。ここまでの作業はすべて、ランダムな時間のスリープを挟んで行われるとのこと。

そして、SysJokerはC2サーバーとアクセスするため、SysJokerのソースコード内にハードコーディングされたGoogleドライブのリンクにアクセスします。このGoogleドライブにはC2サーバーのリストをまとめた「domain.txt」がアップロードされており、攻撃者によって定期的に更新されています。


SysJokerが初期に収集した情報は、C2サーバーへのハンドシェイクとして送信され、C2サーバーは感染デバイスの識別子となる一意的なトークンを返信します。そこから、C2サーバーはSysJokerに対して、追加のマルウェアをインストールするよう指示したり、感染したデバイス上でコマンドを実行したり、バックドアがデバイスから自身を取り除くよう指示したりすることが可能です。なお、LinuxとmacOSの場合は、DLL形式のドロッパーは使われないものの、SysJokerの動作は基本的に同じ。


技術系ニュースサイトのBleepingComputerは、SysJokerを検出するための痕跡情報を各OSごとに、以下の通りにまとめています。

◆Windows
SysJokerのファイルは「C:ProgramData\RecoverySystem」フォルダ内の「C:ProgramData%%igfxCUIService.exe」および「C:ProgramData%%microsoft_Windows.dll」に格納されています。SysJokerは永続化のために「igfxCUIService」というオートラン設定を作成し、igfxCUIService.exeというマルウェアの実行ファイルを起動します。

◆macOS
SysJokerのファイルが「/Library/」に作成され、LaunchAgentを介して「/Library/LaunchAgents/com.apple.update.plist」の下で永続化されます。

◆Linux
SysJokerのファイルやディレクトリが「/.Library/」の下に作成され、以下のcronジョブを作成することで永続化されます。

@reboot (/.Library/SystemServices/updateSystem)

また、BleepingComputerは、もしSysJokerに感染していることが判明した場合は次の手順を行うように述べています。

1:マルウェアに関連するすべてのプロセスを強制終了し、SysJokerの永続化に関するディレクトリやファイルを手動で削除する。
2:メモリスキャナーを実行し、すべての悪意のあるファイルがシステムから根こそぎ削除されていることを確認する。
3:エントリポイントを調査し、ファイアウォールの構成を確認し、すべてのソフトウェアを利用可能な最新バージョンに更新する。

この記事のタイトルとURLをコピーする

Source