全面封堵新型恶意软件SysJoker，优炫RS-CDPS解决方案来支招

近来，网络安全公司 Intezer发现了一种以前未记录的高级威胁后门 SysJoker，可同时攻击 Windows、Linux 和 Mac 三大操作系统，且几乎所有恶意软件扫描引擎都无法检测到它。该后门程序使用 C++ 编写，每个样本都是针对特定操作系统量身定制的。

那么，这个后门到底是什么？

到底是如何通杀三大系统的？

在不同的操作系统上，SysJoker 的行为都是相似的。

接下来

我们以 Windows 系统的恶意样本为例，进行相关分析。

与Mac和Linux平台版本不同，Windows版本包含了第一阶段的 Dropper

Dropper（d71e1a6ee83221f1ac7ed870bc272f01）

是一个 DLL 文件，上传到 VirusTotal 的名字是 style-loader.ts，在撰写本文时只有 6 个引擎检出。（Intezer发稿时数据）

Dropper 使用 PowerShell 命令从 https://github.url-mini.com/msg.zip中下载一个压缩的 SysJoker（53f1bb23f670d331c9041748e7e8e396），并将其复制到

C:ProgramDataRecoverySystemrecoveryWindows.zip

再进行解压缩并执行。

SysJoker（d90d0f4d6dad402b5d025987030cc87c）成功执行，样本会随机休眠 90 到 120 秒。然后创建 C:ProgramDataSystemData目录并将自身复制到该目录下，伪装成 igfxCUIService.exe程序文件（igfxCUIService 与 Intel Graphics Common User Interface Service 有关）。接着收集有关失陷主机的信息（MAC 地址、用户名、物理设备序列号和 IP 地址等信息）。SysJoker 使用不同的临时文本文件来记录命令的结果。这些文本文件会被立即删除，数据存储在 JSON 对象中，然后编码并写入名为 microsoft_Windows.dll的文件。另外，SysJoker 通过注册表

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

实现持久化。在上述每个步骤之间，恶意软件都会随机休眠一段时间。接下来，SysJoker将开始其C2通信。

步骤1 建立通信

为了获取可用的 C&C 服务器地址并开始通信，SysJoker 首先对硬编码的 Google Drive 链接进行解码。Google Drive 链接上部署了一个名为 domain.txt的文本文件，该文件包含一个经过编码的 C&C 服务器地址。文本文件的内容会随着时间的推移而变化，不断更新当前可用的 C&C 服务器。SysJoker 将收集到的用户信息发送到 C&C 服务器的 /api/attach作为初始握手。C&C 服务器会回复一个唯一 Token，从此以后的恶意软件与 C&C 服务器通信，Token 将被用作标识符。

步骤2  获取指令

SysJoker 运行一个 while(1) 循环，该循环会使用唯一 Token 向 C&C 服务器的 /api/req发送请求，接收响应处理为 JSON。这就是 SysJoker 与 C&C 服务器保活获取指令的方式。

步骤3 解析payload

如果服务器响应数据，SysJoker 解析接收到的 Payload 执行对应指令：exe、cmd、remove_reg 和 exit。当前版本的恶意软件并未实现 remove_reg和 exit。根据指令名称，可以推断是恶意软件的自我删除功能。

步骤4 执行指令

exe - 该指令负责丢弃和运行一个可执行文件。SysJoker将收到一个压缩文件的URL，一个文件应被投放到的路径目录，以及一个恶意软件应在提取的可执行文件上使用的文件名。它将下载该文件，解压缩并执行它。

执行后，恶意软件将回复C2的/api/req/res API，如果进程成功，则为 "成功"，如果不成功，则为 "异常"（上图第4步）。

cmd - 该指令负责运行一个命令并将其响应上传到C2。SysJoker将对命令进行解码，执行它并通过/api/req/res API将命令的响应上传到C2（上图第4步）。

优炫主机自适应安全管理系统（RS-CDPS，以下简称为CDPS）是面向多行业、解决多需求的关键信息基础资源安全防护产品。采用业界领先的操作系统及云环境内核防御技术，能够从根本上免疫针对服务器操作系统和应用系统的攻击，从而提升服务器安全。

检出恶意文件

面对此次SysJoker后门，CDPS可通过恶意代码扫描模块快速检出（如下图1），也可以通过Intezer 提供的IoC特征值，快速检出所有主机的匹配文件。接下来通过资产指纹检测出与 SysJoker 相关的隐藏进程及相关受影响主机（如下图2），删除相关的持久化机制，以及所有与 SysJoker 相关的文件。

图1

图2

恶意文件执行阻断

以上两种方式检出的文件将自动从可信程序白名单库中移除，CDPS利用内核防御技术，从操作系统底层对可执行程序进行管控，只要不在可信白名单中的程序均无法绕过执行，这样在执行环节即可阻断恶意文件。

阻止横向扩散

检出恶意文件后，与微隔离功能实时联动，在主机流量可视化页面中突出显示受感染主机及其与其他主机的流量交互（如下图），并快速做出响应，阻断其与数据中心内其他主机的业务流量，有效阻止了病毒在数据中心内的横向扩散。

作为新一代主机自适应安全管理系统，CDPS提供了资产变更分析、定期安全体检、主机行为审计、端点自愈等多个功能模块，各个模块间数据联通、功能联动，形成有效闭环系统。根据Intezer 提供的IoC信息，建议使用本产品用户做以下运营管理策略：

1. 开启资产变更分析、主机行为审计功能模块

添加此次后门的行为信息（例如：C:ProgramDataRecoverySystem、C:ProgramDataSystemData等目录；注册表变更及命令行执行记录等），后续有发生类似行为时会触发告警，为后续的响应动作提供数据支撑。

2. 更新端点自愈知识库

CDPS管理平台具备SIEM级事件管理能力，并且提供了端点自愈功能，只要根据Intezer 提供的IoC信息，及时更新知识库，管理平台会根据告警数据自动与知识库匹配，触发知识库中的响应动作，并且与程序白名单库和微隔离产生联动防御，实现端点自愈。无需人工介入即可完成防护。

病毒分析过程参考来源：

Intezer