{"id":5738,"date":"2023-12-03T20:13:58","date_gmt":"2023-12-03T19:13:58","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5738"},"modified":"2023-12-03T20:13:58","modified_gmt":"2023-12-03T19:13:58","slug":"sysjoker-napada-windows-linux-i-mac","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/","title":{"rendered":"SysJoker napada Windows, Linux i Mac"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/13\/sysjoker-napada-windows-macos-i-linux-operativne-sisteme\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>SysJoker<\/em><\/a> napada <em>Windows<\/em>, <em>Linux<\/em> i <em>Mac<\/em> operativne sisteme pokazuju\u0107i tako svoje vi\u0161eplatformske <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>mogu\u0107nosti. Ovaj zlonamjerni softver je prvi put uo\u010den od strane kompanije <em>Intezer <\/em>i dugo je bio ispod radara, da bi sada ponovo bio uo\u010den od strane <a href=\"https:\/\/research.checkpoint.com\/2023\/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker\/\" target=\"_blank\" rel=\"noopener\">sigurnosnih istra\u017eiva\u010da kompanije <em>Checkpoint<\/em><\/a>.<\/span><\/p>\n<div id=\"attachment_5742\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5742\" class=\"size-full wp-image-5742\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SysJoker-malware.jpg\" alt=\"SysJoker\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SysJoker-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SysJoker-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SysJoker-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SysJoker-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SysJoker-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SysJoker-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SysJoker-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5742\" class=\"wp-caption-text\"><em>SysJoker napada Windows, Linux i Mac; Source: Bing Image Creator<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\"><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#SYSJOKER_UVOD\">SYSJOKER UVOD<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#RUST_SYSJOKER_VARIJANTA\">RUST SYSJOKER VARIJANTA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#WINDOWS_SYSJOKER_VARIJANTA\">WINDOWS SYSJOKER VARIJANTA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#Prva_faza_izvrsavanja\">Prva faza izvr\u0161avanja<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#Registracija_sa_C2_serverom\">Registracija sa C2 serverom<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#C2_petlja\">C2 petlja<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#APPMESSAGINGREGISTRAR_VARIJANTA\">APPMESSAGINGREGISTRAR VARIJANTA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#Program_za_preuzimanje\">Program za preuzimanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#AppMessagingRegistratar\">AppMessagingRegistratar<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#INFRASTRUKTURA\">INFRASTRUKTURA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"SYSJOKER_UVOD\"><\/span><span style=\"font-size: 14pt;\"><strong><em>SYSJOKER<\/em> UVOD<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>SysJoker<\/em> je prvobitno otkriven od strane kompanije <em>Intezer<\/em> 2021. godine kao vi\u0161eplatformski <em>backdoor <\/em>zlonamjerni softver koji cilja <em>Windows<\/em>, <em>Linux<\/em> i <em>Mac<\/em> operativne sisteme. Napisan u programskom jeziku <em>C++<\/em> i prilago\u0111en svakom operativnom sistemu posebno, pro\u0161ao je neopa\u017eeno na <em>VirusTotal<\/em> servisu koji sadr\u017ei 57 razli\u010ditih antivirusnih skenera u verzijama prilago\u0111enim za <em>macOS<\/em> i <em>Linux<\/em> operativne sisteme. Nakon toga, ovaj <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> je dovoljno evoluirao da ostane ispod radara sigurnosnih istra\u017eiva\u010da.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sada kada je ponovo privukao pa\u017enju sigurnosnih istra\u017eiva\u010da, prona\u0111ena je varijanta ovog zlonamjernog softvera napisana u programskom jeziku <em>Rust<\/em>, \u0161to zna\u010di da je k\u00f4d zlonamjernog softvera ponovo napisan. Istra\u017eivanje je pokazalo da <em>SysJoker<\/em> ima sli\u010dan na\u010din pona\u0161anja na\u010dinu koji je primije\u0107en u kampanji koja je dobila naziv \u201c<em>Operacija elektri\u010dni prah<\/em>\u201d (eng. <em>Operation Electric Powder<\/em>) koja je ciljala Izrael u periodu 2016-2017. godine.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"RUST_SYSJOKER_VARIJANTA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>RUST<\/em> <em>SYSJOKER<\/em> VARIJANTA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Rust<\/em> <em>SysJoker<\/em> varijanta je testirana na <em>VirusTotal<\/em> platformi u oktobru 2023. godine, a kompajlirana nekoliko mjeseci ranije u avgustu. Zlonamjerni softver sada kositi nasumi\u010dne intervale mirovanja u razli\u010ditim fazama svog izvr\u0161avanja, \u0161to mo\u017ee poslu\u017eiti kao moguc\u0301a mjera protiv analize u izolovanom okru\u017eenju (eng. <em>sandbox<\/em>) i ostalih na\u010dina analize. Otkriveni uzorak ima dva na\u010dina rada koji su odre\u0111eni njegovim prisustvom na odre\u0111enoj putanji. Ovo ima za cilj da razlikuje prvo izvr\u0161enje od svih narednih na osnovu postojanosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><span style=\"font-size: 14pt;\"><strong>Funkcionisanje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver prvo provjerava da li trenutni pokrenuti modul odgovara odre\u0111enoj putanji, nakon \u010dega zlonamjerni softver prelazi u jednu od dvije moguc\u0301e faze. Ako se pokrenuti uzorak ne nalazi na definisanoj lokaciji, \u0161to ukazuje da je to prvi put da se uzorak izvr\u0161ava, zlonamjerni softver se kopira na definisanju putanju, stvara mehanizam postojanosti i zavr\u0161ava program.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon toga <em>SysJoker<\/em> kontaktira definisanu <em>OneDrive<\/em> Internet adresu kako bi preuzeo adresu <em>C2<\/em> servera. Kori\u0161tenje <em>OneDrive<\/em> skladi\u0161ta u oblaku omogu\u0107ava napada\u010dima da lako promjene <em>C2<\/em> adresu, \u0161to im omogu\u0107ava da budu ispred razli\u010ditih usluga zasnovanih na reputaciji. Ovo pona\u0161anje ostaje dosljedno u razli\u010ditim verzijama <em>SysJoker<\/em> zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U sljede\u0107em koraku zlonamjerni softver prikuplja informacije o zara\u017eenom sistemu, uklju\u010duju\u0107i verziju <em>Windows<\/em> operativnog sistema, korisni\u010dko ime, <em>MAC<\/em> adresu i razne druge podatke. Ove informacije se zatim \u0161alju <em>C2<\/em> serveru i kao odgovor dobija jedinstveni token koji slu\u017ei kao identifikator kada zlonamjerni softver kasnije uspostavlja komunikaciju sa <em>C2<\/em> serverom. Sad zlonamjerni softver preuzima <em>ZIP<\/em> arhivu koja se raspakuje pokretanjem <em>PowerShell<\/em> komande i koja sadr\u017ei izvr\u0161nu datoteku. Ovdje je va\u017eno napomenuti da je u prethodnim uzorcima <em>SysJoker<\/em> zlonamjerni softver imao mogu\u0107nost ne samo da preuzima i izvr\u0161ava udaljene datoteke iz arhive, ve\u0107 i da izvr\u0161ava komande koje su diktirali zlonamjerni akteri. Ova funkcionalnost nedostaje u <em>Rust<\/em> verziji. Nakon \u0161to je primio i izvr\u0161io komandu za preuzimanje datoteke, u zavisnosti od toga da li je operacija bila uspje\u0161na ili ne, zlonamjerni softver ponovo kontaktira <em>C2<\/em> server i \u0161alje poruku o uspehu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"WINDOWS_SYSJOKER_VARIJANTA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>WINDOWS<\/em> <em>SYSJOKER<\/em> VARIJANTA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Pored nove <em>Rust<\/em> varijante sigurnosni istra\u017eiva\u010di su prona\u0161li i uzorke koji nisu bili u pro\u0161losti analizirani. Otkriveni uzorci su ne\u0161to slo\u017eeniji od <em>Rust<\/em> verzije ili bilo kog od prethodno analiziranog uzoraka. Jedan od uzoraka, za razliku od drugih verzija, ima vi\u0161estepeni proces izvr\u0161avanja, koji se sastoji od programa za preuzimanje, instalatera i odvojene <em>DLL<\/em> datoteke <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnog optere\u0107enja<\/a>. Uzorak je kompajlirana u maju 2022. godine i kao i ostale verzije <em>SysJoker<\/em> zlonamjernog softvera po\u010dinje preuzimanjem adrese <em>C2<\/em> servera kori\u0161tenjem <em>OneDrive<\/em> skladi\u0161ta u oblaku, nakon \u010dega po\u010dinje izvr\u0161avanje zlonamjernog softvera u tri faze.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Prva_faza_izvrsavanja\"><\/span><span style=\"font-size: 14pt;\"><strong>Prva faza izvr\u0161avanja<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver generi\u0161e jedinstveni <em>bot<\/em> <em>ID<\/em> i \u0161alje ga <em>C2<\/em> serveru, a zauzvrat dobija odgovaraju\u0107e instrukcije po\u017eeljnog pode\u0161avanja zlonamjernog softvera na inficiranom ure\u0111aju. Treba napomenuti da je konfiguracijska datoteka, u ovom slu\u010daju <em>DLL<\/em> datoteka je <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">enkriptovana<\/a>. Nakon pra\u0107enja dobijenih instrukcija koje podrazumijevaju kreiranje nekoliko direktorijuma i definisanja naziva datoteka koje \u0107e se koristiti, pokre\u0107e se nekoliko komandi koje mijenjaju vrijednosti u registrima operativnog sistema, a omogu\u0107avaju postojanost zlonamjernog softvera. Nakon zavr\u0161etka svih predvi\u0111enih operacija u prvoj fazi, ovaj zlonamjerni uzorak pravi svoju kopiju i zavr\u0161ava proces.<\/span><\/p>\n<h3><\/h3>\n<h3><span class=\"ez-toc-section\" id=\"Registracija_sa_C2_serverom\"><\/span><span style=\"font-size: 14pt;\"><strong>Registracija sa <em>C2<\/em> serverom<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kada se <em>SysJoker<\/em> zlonamjerni softver ponovo pokrene, zahvaljuju\u0107i ostvarivanja postojanosti u prethodnoj fazi, on prvo provjerava svoju lokaciju sa koje se pokre\u0107e. Zatim nastavlja izvr\u0161avanje slanjem podatka kao \u0161to su <em>UUID<\/em>, korisni\u010dko ime i korisni\u010dki token koje je prethodno generisao zlonamjerni softver. Server odgovara tokenom generisanim na njegovoj strani koji se zatim koristi za sve naredne <em>C2<\/em> zahteve.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"C2_petlja\"><\/span><span style=\"font-size: 14pt;\"><strong><em>C2<\/em> petlja<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Token koji je zlonamjerni softver dobio od servera u prethodnoj fazi se sada koristi za dobijanje komandi koje treba izvr\u0161iti. Sli\u010dno drugim <em>SysJoker<\/em> varijantama, odgovor servera sadr\u017ei podatke o niz radnji koje treba preduzeti. Ova verzija mo\u017ee da preuzima i izvr\u0161ava datoteke ili pokrec\u0301e komande i otprema rezultate na <em>C2<\/em> server. Za svaku komandu u nizu, uzorak \u0161alje izvje\u0161taj o odgovoru da li je bio uspje\u0161an ili ne.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"APPMESSAGINGREGISTRAR_VARIJANTA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>APPMESSAGINGREGISTRAR<\/em> VARIJANTA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>AppMessagingRegistrar<\/em> varijanta je kompajlirana u junu 2022. godine i pona\u0161a se druga\u010dije od ostalih kroz faze izvr\u0161avanja. Funkcionalnost ovog zlonamjernog softvera je podijeljena na dvije odvojene komponente: program za preuzimanje i <em>backdoor<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Program_za_preuzimanje\"><\/span><span style=\"font-size: 14pt;\"><strong>Program za preuzimanje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akter prvo isporu\u010duje mali program za preuzimanje koji zatim preuzima <em>ZIP<\/em> datoteku koju raspakuje kopira je u <em>AppMessagingRegistrar.exe<\/em> datoteku i zatim izvr\u0161ava. U ovom slu\u010daju, podjela funkcionalnosti na dvije odvojene komponente se pokazala efikasnim, po\u0161to niti jedan sigurnosni skener na <em>VirusTotal<\/em> servisu nije otkrio zlonamjerni softver.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"AppMessagingRegistratar\"><\/span><em><span style=\"font-size: 14pt;\"><strong>AppMessagingRegistratar<\/strong><\/span><\/em><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Nakon pokretanja aktivni dio virusa prvo provjerava da li postoji <em>SOFTWARE\\Intel\\UNP\\ProgramUpdates\\UUID<\/em> u bazi registra operativnog sistema. Ako ne postoji, zlonamjerni softver generi\u0161e klju\u010d i smije\u0161ta ga na prethodno navedenu lokaciju. Nakon toga nastavlja sa de\u0161ifrovanjem\u00a0 definisane <em>OneDrive<\/em> adrese <em>C2<\/em> servera i slanja zahtjeva koji sadr\u017ei prethodno generisani <em>UUID<\/em> na koji <em>C2<\/em> server odgovara tokenom i statusom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Status pokazuje da li je zahtev bio ispravan ili ne, a zlonamjerni softver posebno provjerava niz \u201c<em>Uspje\u0161no<\/em>\u201d. Token se koristi za sve sljede\u0107e <em>C2<\/em> zahteve koji se u ovom uzorku \u0161alju u zaglavlju autorizacije.\u00a0 Ova promjena bi mogla da bude prilago\u0111avanje dodatnih koraka u izvr\u0161avanju zlonamjernog softvera u kojima zlonamjerni softver \u0161alje drugi tip zahtjeva i zahteva mehanizam da server identifikuje po\u0161iljaoca.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"INFRASTRUKTURA\"><\/span><span style=\"font-size: 14pt;\"><strong>INFRASTRUKTURA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Za razliku od prethodnih slu\u010dajeva, zlonamjerni akter je zamijenio <em>Google Drive<\/em> sa <em>OneDrive<\/em> skladi\u0161tem u oblaku za skladi\u0161tenje dinami\u010dkih <em>C2<\/em> adresa. To zna\u010di da se infrastruktura koju koriste zlonamjerni akteri u ovoj kampanji se konfiguri\u0161e dinami\u010dki tako \u0161to zlonamjerni softver prvo kontaktira <em>OneDrive<\/em> adresu, a onda de\u0161ifruje sadr\u017eaj u kojem se nalazi <em>C2<\/em> adresa sa kojom uspostavlja vezu. Adresa servera je <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovana <\/a><em>XOR<\/em> klju\u010dem i <em>base64<\/em> kodirana.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>SysJoker<\/em> zlonamjerni softver je prvi put primije\u0107en 2021. godine i detaljno analiziran 2022. godine, ali nije pripisan nije pripisan nijednom poznatom akteru. Sada su sigurnosni istra\u017eiva\u010di kompanije <em>Checkpoint<\/em> prona\u0161li dokaze da se ovaj zlonamjerni softver i njegove varijante koriste kao dio sukoba izme\u0111u Izraela i Hamasa. Uspostavljena je i veza izme\u0111u <em>SysJoker<\/em> zlonamjernog softvera i kampanje \u201c<em>Operacija elektri\u010dni prah<\/em>\u201d koja je tokom 2016-2017. godine bila usmjerena protiv Izraelske elektri\u010dne kompanije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ranije verzije zlonamjernog softvera bile su kodirane u <em>C++<\/em> programskom jeziku. Po\u0161to ne postoji jednostavan metod za prenos tog k\u00f4da u <em>Rust<\/em>, to zna\u010di da je zlonamjerni softver u potpunosti ponovo napisan i da potencijalno mo\u017ee poslu\u017eiti kao osnova za budu\u0107e promjene i pobolj\u0161anja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Korisnici mogu slijediti sljede\u0107e preporuke za otkrivanje i ubla\u017eavanje uticaja nove <em>SysJoker<\/em> varijante:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Upotreba naprednih sistema za otkrivanje prijetnji koji mogu da identifikuju sofisticirane prijetnje kao \u0161to je <em>SysJoker<\/em> je klju\u010dna. Takvi sistemi treba da budu opremljeni da uo\u010de neobi\u010dno pona\u0161anje sistema i anomalije mre\u017enog saobra\u0107aja.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kontinuirano prac\u0301enje i blagovremeno a\u017euriranje softvera i hardvera je od su\u0161tinskog zna\u010daja za minimiziranje ranjivosti koje bi mogao da iskoristi zlonamjerni softver poput <em>SysJoker<\/em>.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kontinuirana edukacija\u00a0 zaposlenih o najboljim praksama u oblasti sajber bezbjednosti je klju\u010dna odbrambena strategija, jer ljudska gre\u0161ka \u010desto dovodi do uspje\u0161nih sajber napada.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Upotreba enkripcije za za\u0161titu osjetljivih podataka je kriti\u010dna mjera za za\u0161titu od od neovla\u0161tenog postupa podacima, posebno onih izazvanih <em>backdoor<\/em> zlonamjernim softverom kao \u0161to je <em>SysJoker<\/em>.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Zlonamjerni softver SysJoker napada Windows, Linux i Mac operativne sisteme pokazuju\u0107i tako svoje vi\u0161eplatformske backdoor mogu\u0107nosti. Ovaj zlonamjerni softver je prvi put uo\u010den od strane kompanije Intezer i dugo je bio ispod radara, da&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5742,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[142,141,246,93,598,143],"class_list":["post-5738","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-backdoor","tag-linux","tag-mac","tag-malware","tag-sysjoker","tag-windows"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5738","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5738"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5738\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5742"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5738"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5738"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5738"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}