{"id":3543,"date":"2022-01-13T08:03:06","date_gmt":"2022-01-13T07:03:06","guid":{"rendered":"https:\/\/sajberinfo.com\/2022\/11\/21\/text-84\/"},"modified":"2022-12-04T13:22:47","modified_gmt":"2022-12-04T12:22:47","slug":"sysjoker-napada-windows-macos-i-linux-operativne-sisteme","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2022\/01\/13\/sysjoker-napada-windows-macos-i-linux-operativne-sisteme\/","title":{"rendered":"SysJoker napada Windows, macOS i Linux operativne sisteme"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di kompanije Intezer<\/a><\/em> su otkrili zlonamjerni softver<\/a> nazvan SysJoker<\/em> koji napada Windows, macOS<\/em> i Linux<\/em> sisteme sa sposobno\u0161\u0107u izbjegavanja otkrivanja na sva tri operativna sistema.<\/span><\/span><\/p>\n

\"SysJoker

SysJoker<\/em> zlonamjerni softver; Design by Sa\u0161a \u0110uri\u0107<\/p><\/div>\n

Sigurnosni istra\u017eiva\u010di su ga primijetili u decembru 2021. godine prilikom istrage napada na Linux<\/em> server. Daljim istra\u017eivanjem utvr\u0111eno je da su se uzorci ovog zlonamjernog softvera pojavili na VirusTotal <\/em>servisu u drugoj polovini 2021. godine. Napisan u programskom jeziku C++<\/em> i prilago\u0111en svakom operativnom sistemu posebno, pro\u0161ao je neopa\u017eeno na VirusTotal <\/em>servisu koji sadr\u017ei 57 razli\u010ditih antivirusnih skenera u verzijama prilago\u0111enim za <\/span>macOS<\/em> i Linux<\/em> operativne sisteme.<\/span><\/span>\u00a0<\/span><\/span><\/p>\n

Internet stranica BleepingComputer <\/a><\/em>je objavila detaljnu analizu SysJoker<\/em> zlonamjernog softvera.Windows<\/em>verzija ovog zlonamjernog softvera ima, za razliku od macOS<\/em> i Linux<\/em>verzije, prvu fazu napada. U toj fazi koristi se DLL<\/em>fajl koji koristi PowerShell<\/em>komande za preuzimanjeZIP<\/em> arhive sa GitHub<\/em>-a u kojoj se nalazi SysJoker<\/em>. Arhiva se raspakuje na adresu \u201c<\/span>C:\\ProgramData\\RecoverySystem\\<\/em>\u201d i pokrene aktivni dio virusa. Nakon pokretanja, ide u re\u017eim mirovanja od 90 do 120 sekundi i onda se maskira kao Intel Graphics Common User Interface Service<\/em>, odnosno igfxCUIService.exe<\/em>.<\/span><\/span>\u00a0<\/span><\/span><\/p>\n

U sljede\u0107em koraku prikuplja informacije u ure\u0111aju upisuju\u0107i informacije u razne privremene tekstualne dokumente. Na kraju sve informacije se kodiraju i upisuju u fajl pod nazivom\u00a0 \u201cmicrosoft_Windows.dll<\/em>\u201d, dok se privremeni tekstualni dokumenti bri\u0161u. Nakon prikupljana informacija, zlonamjerni softver \u0107e napraviti upori\u0161te dodavaju\u0107i novi registry<\/em> klju\u010d \u201cHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run<\/em>\u201d uz nekoliko nasumi\u010dnih stanja mirovanja izme\u0111u svakog koraka.<\/span><\/span><\/p>\n

\"hardcoded

Source: Intezer<\/em><\/a><\/p><\/div>\n

Naredni korak je uspostavljanje veze sa kontrolnim serverom putem kodirane veze ka Google Drive<\/em>-u. Tu se nalazi fajl pod nazivom\u00a0 \u201cdomain.txt<\/em>\u201d koji je redovno a\u017euriran od strane napada\u010da sa listom kontakt servera, \u0161to dalje omogu\u0107ava da se izbjegne detekcija ili blokiranje. Odmah po uspostavljanju veze, prikupljene informacije se \u0161alju komandom serveru, koji kao odgovor na to zara\u017eenom ure\u0111aju dodjeljuje jedinstveni identifikator. Nakon ovoga, komandi server mo\u017ee isporu\u010diti novi zlonamjerni softver, pokretati naredbe na zara\u017eenom ure\u0111aju ili obrisati zlonamjerni softver.<\/span><\/span><\/p>\n

\"communication

Komunikacija sa komandnim serverom; Source: Intezer<\/a><\/em><\/p><\/div>\n

Kompanija Intezer<\/em> je dala detaljne instrukcije pomo\u0107u kojih administratori mogu ustanoviti da li su njihovi ure\u0111aji zara\u017eeni sa zlonamjernim softverom SysJoker<\/em>. Pored toga su objavili i korake koje bi trebalo preduzeti. Vi\u0161e detaljnijih informacija mo\u017eete na\u0107i ovdje<\/a>.<\/span><\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di kompanije Intezer su otkrili zlonamjerni softver nazvan SysJoker koji napada Windows, macOS i Linux sisteme sa sposobno\u0161\u0107u izbjegavanja otkrivanja na sva tri operativna sistema. Sigurnosni istra\u017eiva\u010di su ga primijetili u decembru 2021....<\/p>","protected":false},"author":1,"featured_media":3610,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[77,142,141,144,93,54,143],"class_list":["post-3543","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-antivirusni-softver","tag-backdoor","tag-linux","tag-macos","tag-malware","tag-sajber-bezbjednost","tag-windows"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/3543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=3543"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/3543\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/3610"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=3543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=3543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=3543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}