日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

 本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯(lián)系出處。

成都創(chuàng)新互聯(lián)專注于吉利網站建設服務及定制，我們擁有豐富的企業(yè)做網站經驗。 熱誠為您提供吉利營銷型網站建設，吉利網站制作、吉利網頁設計、吉利網站官網定制、小程序制作服務，打造吉利網絡公司原創(chuàng)品牌,更為您提供吉利網站排名全網營銷落地服務。

能同時攻擊Windows、Mac、Linux三大操作系統(tǒng)的惡意軟件出現(xiàn)了。

雖然“全平臺通殺”病毒并不常見，但是安全公司Intezer的研究人員發(fā)現(xiàn)，有家教育公司在上個月中了招。

更可怕的是，他們通過分析域名和病毒庫發(fā)現(xiàn)，這個惡意軟件已經存在半年之久，只是直到最近才被檢測到。

他們把這個惡意軟件命名為SysJoker。

SysJoker核心部分是后綴名為“.ts”的TypeScript文件，一旦感染就能被遠程控制，方便黑客進一步后續(xù)攻擊，比如植入勒索病毒。

SysJoker用C++編寫，每個變體都是為目標操作系統(tǒng)量身定制，之前在57個不同反病毒檢測引擎上都未被檢測到。

那么SysJoker到底是如何通殺三大系統(tǒng)的？

SysJoker的感染步驟

SysJoker在三種操作系統(tǒng)中的行為類似，下面將以Windows為例展示SysJoker的行為。

首先，SysJoker會偽裝成系統(tǒng)更新。

一旦用戶將其誤認為更新文件開始運行，它就會隨機睡眠90到120秒，然后在C:\ProgramData\SystemData\目錄下復制自己，并改名為igfxCUIService.exe，偽裝成英特爾圖形通用用戶界面服務。

接下來，它使用Live off the Land（LOtL）命令收集有關機器的信息，包括MAC地址、用戶名、物理媒體序列號和IP地址等。

SysJoker使用不同的臨時文本文件來記錄命令的結果。這些文本文件會立即刪除，存儲在JSON對象中，然后編碼并寫入名為microsoft_windows.dll的文件。

此外，SysJoker收集之后軟件向注冊表添加鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run保證其持久存在。

在上述每個步驟之間，惡意軟件都會隨機睡眠，防止被檢測到。

接下來，SysJoker將開始建立遠程控制（C2）通信。

方式是通過下載從Google Drive托管的文本文件，來生成遠程控制。

Google Drive鏈接指向一個名為“domain.txt”的文本文件，這是以編碼形式保存的遠程控制文件。

在Windows系統(tǒng)上，一旦感染完成，SysJoker就可以遠程運行包括“exe”、“cmd”、“remove_reg”在內的可執(zhí)行文件。

而且研究人員在分析期間發(fā)現(xiàn)，以上服務器地址更改了三次，表明攻擊者處于活動狀態(tài)，并監(jiān)控了受感染的機器。

如何查殺SysJoker

盡管SysJoker現(xiàn)在被殺毒軟件檢測出的概率很低，但發(fā)現(xiàn)它的Intezer公司還是提供了一些檢測方法。

用戶可以使用內存掃描工具檢測內存中的SysJoker有效負載，或者使用檢測內容在EDR或SIEM中搜索。具體操作方法可以參見Intezer網站。

已經感染的用戶也不要害怕，Intezer也提供了手動殺死SysJoker的方法。

用戶可以殺死與SysJoker相關的進程，刪除相關的注冊表鍵值和與SysJoker相關的所有文件。

Linux和Mac的感染路徑不同，用戶可以在Intezer查詢到這些參數(shù)，分析自己的電腦是否被感染。

分享題目：惡意軟件偽裝成系統(tǒng)更新，通殺WinMacLinux三大系統(tǒng)
文章源于：http://www.dlmjj.cn/article/djhghoc.html