SysJoker napada Windows, Linux i Mac

Zlonamjerni softver SysJoker napada Windows, Linux i Mac operativne sisteme pokazujući tako svoje višeplatformske backdoor mogućnosti. Ovaj zlonamjerni softver je prvi put uočen od strane kompanije Intezer i dugo je bio ispod radara, da bi sada ponovo bio uočen od strane sigurnosnih istraživača kompanije Checkpoint.

SysJoker

SysJoker napada Windows, Linux i Mac; Source: Bing Image Creator

SYSJOKER UVOD

SysJoker je prvobitno otkriven od strane kompanije Intezer 2021. godine kao višeplatformski backdoor zlonamjerni softver koji cilja Windows, Linux i Mac operativne sisteme. Napisan u programskom jeziku C++ i prilagođen svakom operativnom sistemu posebno, prošao je neopaženo na VirusTotal servisu koji sadrži 57 različitih antivirusnih skenera u verzijama prilagođenim za macOS i Linux operativne sisteme. Nakon toga, ovaj zlonamjerni softver je dovoljno evoluirao da ostane ispod radara sigurnosnih istraživača.

Sada kada je ponovo privukao pažnju sigurnosnih istraživača, pronađena je varijanta ovog zlonamjernog softvera napisana u programskom jeziku Rust, što znači da je kôd zlonamjernog softvera ponovo napisan. Istraživanje je pokazalo da SysJoker ima sličan način ponašanja načinu koji je primijećen u kampanji koja je dobila naziv “Operacija električni prah” (eng. Operation Electric Powder) koja je ciljala Izrael u periodu 2016-2017. godine.

 

RUST SYSJOKER VARIJANTA

Rust SysJoker varijanta je testirana na VirusTotal platformi u oktobru 2023. godine, a kompajlirana nekoliko mjeseci ranije u avgustu. Zlonamjerni softver sada kositi nasumične intervale mirovanja u različitim fazama svog izvršavanja, što može poslužiti kao moguća mjera protiv analize u izolovanom okruženju (eng. sandbox) i ostalih načina analize. Otkriveni uzorak ima dva načina rada koji su određeni njegovim prisustvom na određenoj putanji. Ovo ima za cilj da razlikuje prvo izvršenje od svih narednih na osnovu postojanosti.

 

Funkcionisanje

Zlonamjerni softver prvo provjerava da li trenutni pokrenuti modul odgovara određenoj putanji, nakon čega zlonamjerni softver prelazi u jednu od dvije moguće faze. Ako se pokrenuti uzorak ne nalazi na definisanoj lokaciji, što ukazuje da je to prvi put da se uzorak izvršava, zlonamjerni softver se kopira na definisanju putanju, stvara mehanizam postojanosti i završava program.

Nakon toga SysJoker kontaktira definisanu OneDrive Internet adresu kako bi preuzeo adresu C2 servera. Korištenje OneDrive skladišta u oblaku omogućava napadačima da lako promjene C2 adresu, što im omogućava da budu ispred različitih usluga zasnovanih na reputaciji. Ovo ponašanje ostaje dosljedno u različitim verzijama SysJoker zlonamjernog softvera.

U sljedećem koraku zlonamjerni softver prikuplja informacije o zaraženom sistemu, uključujući verziju Windows operativnog sistema, korisničko ime, MAC adresu i razne druge podatke. Ove informacije se zatim šalju C2 serveru i kao odgovor dobija jedinstveni token koji služi kao identifikator kada zlonamjerni softver kasnije uspostavlja komunikaciju sa C2 serverom. Sad zlonamjerni softver preuzima ZIP arhivu koja se raspakuje pokretanjem PowerShell komande i koja sadrži izvršnu datoteku. Ovdje je važno napomenuti da je u prethodnim uzorcima SysJoker zlonamjerni softver imao mogućnost ne samo da preuzima i izvršava udaljene datoteke iz arhive, već i da izvršava komande koje su diktirali zlonamjerni akteri. Ova funkcionalnost nedostaje u Rust verziji. Nakon što je primio i izvršio komandu za preuzimanje datoteke, u zavisnosti od toga da li je operacija bila uspješna ili ne, zlonamjerni softver ponovo kontaktira C2 server i šalje poruku o uspehu.

 

WINDOWS SYSJOKER VARIJANTA

Pored nove Rust varijante sigurnosni istraživači su pronašli i uzorke koji nisu bili u prošlosti analizirani. Otkriveni uzorci su nešto složeniji od Rust verzije ili bilo kog od prethodno analiziranog uzoraka. Jedan od uzoraka, za razliku od drugih verzija, ima višestepeni proces izvršavanja, koji se sastoji od programa za preuzimanje, instalatera i odvojene DLL datoteke korisnog opterećenja. Uzorak je kompajlirana u maju 2022. godine i kao i ostale verzije SysJoker zlonamjernog softvera počinje preuzimanjem adrese C2 servera korištenjem OneDrive skladišta u oblaku, nakon čega počinje izvršavanje zlonamjernog softvera u tri faze.

 

Prva faza izvršavanja

Zlonamjerni softver generiše jedinstveni bot ID i šalje ga C2 serveru, a zauzvrat dobija odgovarajuće instrukcije poželjnog podešavanja zlonamjernog softvera na inficiranom uređaju. Treba napomenuti da je konfiguracijska datoteka, u ovom slučaju DLL datoteka je enkriptovana. Nakon praćenja dobijenih instrukcija koje podrazumijevaju kreiranje nekoliko direktorijuma i definisanja naziva datoteka koje će se koristiti, pokreće se nekoliko komandi koje mijenjaju vrijednosti u registrima operativnog sistema, a omogućavaju postojanost zlonamjernog softvera. Nakon završetka svih predviđenih operacija u prvoj fazi, ovaj zlonamjerni uzorak pravi svoju kopiju i završava proces.

Registracija sa C2 serverom

Kada se SysJoker zlonamjerni softver ponovo pokrene, zahvaljujući ostvarivanja postojanosti u prethodnoj fazi, on prvo provjerava svoju lokaciju sa koje se pokreće. Zatim nastavlja izvršavanje slanjem podatka kao što su UUID, korisničko ime i korisnički token koje je prethodno generisao zlonamjerni softver. Server odgovara tokenom generisanim na njegovoj strani koji se zatim koristi za sve naredne C2 zahteve.

 

C2 petlja

Token koji je zlonamjerni softver dobio od servera u prethodnoj fazi se sada koristi za dobijanje komandi koje treba izvršiti. Slično drugim SysJoker varijantama, odgovor servera sadrži podatke o niz radnji koje treba preduzeti. Ova verzija može da preuzima i izvršava datoteke ili pokreće komande i otprema rezultate na C2 server. Za svaku komandu u nizu, uzorak šalje izvještaj o odgovoru da li je bio uspješan ili ne.

 

APPMESSAGINGREGISTRAR VARIJANTA

AppMessagingRegistrar varijanta je kompajlirana u junu 2022. godine i ponaša se drugačije od ostalih kroz faze izvršavanja. Funkcionalnost ovog zlonamjernog softvera je podijeljena na dvije odvojene komponente: program za preuzimanje i backdoor.

 

Program za preuzimanje

Zlonamjerni akter prvo isporučuje mali program za preuzimanje koji zatim preuzima ZIP datoteku koju raspakuje kopira je u AppMessagingRegistrar.exe datoteku i zatim izvršava. U ovom slučaju, podjela funkcionalnosti na dvije odvojene komponente se pokazala efikasnim, pošto niti jedan sigurnosni skener na VirusTotal servisu nije otkrio zlonamjerni softver.

 

AppMessagingRegistratar

Nakon pokretanja aktivni dio virusa prvo provjerava da li postoji SOFTWARE\Intel\UNP\ProgramUpdates\UUID u bazi registra operativnog sistema. Ako ne postoji, zlonamjerni softver generiše ključ i smiješta ga na prethodno navedenu lokaciju. Nakon toga nastavlja sa dešifrovanjem  definisane OneDrive adrese C2 servera i slanja zahtjeva koji sadrži prethodno generisani UUID na koji C2 server odgovara tokenom i statusom.

Status pokazuje da li je zahtev bio ispravan ili ne, a zlonamjerni softver posebno provjerava niz “Uspješno”. Token se koristi za sve sljedeće C2 zahteve koji se u ovom uzorku šalju u zaglavlju autorizacije.  Ova promjena bi mogla da bude prilagođavanje dodatnih koraka u izvršavanju zlonamjernog softvera u kojima zlonamjerni softver šalje drugi tip zahtjeva i zahteva mehanizam da server identifikuje pošiljaoca.

 

INFRASTRUKTURA

Za razliku od prethodnih slučajeva, zlonamjerni akter je zamijenio Google Drive sa OneDrive skladištem u oblaku za skladištenje dinamičkih C2 adresa. To znači da se infrastruktura koju koriste zlonamjerni akteri u ovoj kampanji se konfiguriše dinamički tako što zlonamjerni softver prvo kontaktira OneDrive adresu, a onda dešifruje sadržaj u kojem se nalazi C2 adresa sa kojom uspostavlja vezu. Adresa servera je šifrovana XOR ključem i base64 kodirana.

 

ZAKLJUČAK

SysJoker zlonamjerni softver je prvi put primijećen 2021. godine i detaljno analiziran 2022. godine, ali nije pripisan nije pripisan nijednom poznatom akteru. Sada su sigurnosni istraživači kompanije Checkpoint pronašli dokaze da se ovaj zlonamjerni softver i njegove varijante koriste kao dio sukoba između Izraela i Hamasa. Uspostavljena je i veza između SysJoker zlonamjernog softvera i kampanje “Operacija električni prah” koja je tokom 2016-2017. godine bila usmjerena protiv Izraelske električne kompanije.

Ranije verzije zlonamjernog softvera bile su kodirane u C++ programskom jeziku. Pošto ne postoji jednostavan metod za prenos tog kôda u Rust, to znači da je zlonamjerni softver u potpunosti ponovo napisan i da potencijalno može poslužiti kao osnova za buduće promjene i poboljšanja.

 

ZAŠTITA

Korisnici mogu slijediti sljedeće preporuke za otkrivanje i ublažavanje uticaja nove SysJoker varijante:

  • Upotreba naprednih sistema za otkrivanje prijetnji koji mogu da identifikuju sofisticirane prijetnje kao što je SysJoker je ključna. Takvi sistemi treba da budu opremljeni da uoče neobično ponašanje sistema i anomalije mrežnog saobraćaja.
  • Kontinuirano praćenje i blagovremeno ažuriranje softvera i hardvera je od suštinskog značaja za minimiziranje ranjivosti koje bi mogao da iskoristi zlonamjerni softver poput SysJoker.
  • Kontinuirana edukacija  zaposlenih o najboljim praksama u oblasti sajber bezbjednosti je ključna odbrambena strategija, jer ljudska greška često dovodi do uspješnih sajber napada.
  • Upotreba enkripcije za zaštitu osjetljivih podataka je kritična mjera za zaštitu od od neovlaštenog postupa podacima, posebno onih izazvanih backdoor zlonamjernim softverom kao što je SysJoker.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.