一、 小白剧场
白:安全员东兄,新年会复职
Dadong:我不知道今年有什么安全事件 可能会重写历史或创造新气氛。
白:我希望安全保护人员的技术可能破裂,但不能牺牲任何损失,特别是在敲诈软件和计算机信息方面。
Dadong:除了勒索软件、恶意软件、崩溃银行等,还可能造成信息泄漏,我们的个别用户总是知道备份、及时升级和小心踩地雷。
白色:嗯,没错。但是,我相信攻击和安全的社区保护是相辅相成的, 新的攻击发展, 新的保护措施已经到位, 新的漏洞在这些保护措施下被揭穿, 也就是技术是如何发展起来的。
东大:当然,但魔法只有一英尺高, 道路只有一英尺高,所以不必担心。
怀特:今年初,我注意到了一篇关于创建恶意软件的新闻报道,该软件旨在摧毁三个系统,即Windows、Linux和Mac os,这让我感到非常高兴。你知道关于这个恶意软件的任何情况吗?
我也跟踪了情况 了解了一下情况
白:你太谦虚了。我相信你知道很多。请告诉我。
少说几句,有地方需要你找
小白:好的好的。
让我们从软件的发现开始
好了 到我的长凳上去
二、 话说事件
Dadong:最初,Intezer保安公司的专家在教育行业的一个组织中发现了一种病毒。
白种人:然后,研究人员开始一个至关重要的病毒分析。东,我很穷,你继续吧。
Dadong:没错,他们确实进行了病毒分析。首先,对域名进行了检查,并与病毒图书馆的信息进行了比较,确定恶意软件已经运行了6个月,但最近才被发现和识别。
小白:G,啥情况?
Dadong:这表示感染是下流的, 恶意软件被称为SysJoker。
(图片来源于网络)
白色: 这是代表System和小丑的名字。这只是一张图片。
当然,感染非常微妙,埋在地下, 多达57个不同的抗病毒引擎在躲避检测。
(图片来源于网络)
白:哇,病毒相当有效。
Dadong:SysJoker是用C++开发的,病毒的每种版本都是为操作系统设计的。这或许可以解释为什么没有发现它们。
怀特:是的,我们今天开始编程, 我明天就可以创建代码。哈哈。如果你感染了这个病毒,会怎样?
Grand-East:SysJoker是StypeScript文件的主要组成部分,后来被称为“.Ts。一旦感染,SysJoker能够远程控制目标,允许未来攻击,例如安装勒索病毒。
White: 嘿 oh ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho ho te:
好了,放松点,嗯哼。
小白:好嘞。
三、 大话始末
你想听哪个平台?
白:是的,因为我正在使用Windows平台, 我们称之为Windows。
大东方:好的,让我们以它为例。首先,病毒将被伪装成 Windows 更新。
白:非常聪明,因为Windows每天更新。
大东:没错,一旦用户误解感染以更新文件,它就开始执行。它会随意睡90至120秒接下来您可以在 C: ProgramaDataSystemData 目录中复制自己。这不是我第一次生孩子, 这是我第一次生孩子, 这是我第一次生孩子, 这是我第一次生孩子。作为英特尔图形用户通用界面服务,您必须面对自己。
白色:这是另一个病毒掩盖, 这次改变病毒的界面。
确切地说,它变得更隐秘了, 最终它开始监视信息。
白:能否理解我们首先收集信息,然后根据这些信息执行下一个战略?
Dadong:事实上,他将收集这些信息,其中包括用户名、有形媒体序列号、MAC地址和IP地址。
白种人:你在找什么命令?
Dadong:它通过使用 Live On the Land(LOTL) 命令来收集有关目标的信息。
白:拿书,我会核实订单。收集的数据将存放在哪里?
Dadong:病毒还在几个临时文本文件中记录了命令的结果,然后被删除并储存在JSON物体中,以微软窗口的名义编码和写成。
白: 那么, 这个操作序列是如何被监控的? 结果, 系统检测到一个不寻常的操作 。
Dadong:恶意软件开发商也考虑到这一问题,因为纳入这些阶段会给操作增加随机休眠,因此难以察觉。
怀特:我还有另一个问题要问你,聪明人。如果上面的文件被删除了呢?
为了防止来之不易的信息丢失SysJoker的收集工作结束后,该方案通过HKEY_CURRENT_USERSoftware 微软 WindowsControllVersonRun,为登记表格添加了密钥。该行为的目标是保护病毒的长期生存能力。
白:每一步都痛苦地接近。
Dadong: 一旦信息收集完毕, 恶意程序将返回信息, 并与控制端建立连接 。
白:这是通过遥控通讯(C2)。
Dadong:调查显示Google驱动器连接进入一个叫做“域”的域。 “由 txt 保存的编码远程控制文本文件 ” 。
(图片来源于网络)
小白:可怕可怕。
Dadong: 在Windows上, SysJoker 可能被远程运行, 包括前exe、 cmd, 并删除_reg 命令, 只要感染过程完成 。
白色:转换成程序化机器。
Dadong:在病毒检测期间,研究人员发现他们的服务器地址有三次改变,表明攻击者一直积极活动,并监测感染目标。
白种人:我们如何消灭这种病毒, 特别是因为它逃避了几次反毒品试验?
四、 小白内心说
别担心,病毒的发现者Intezer 提供了一些测试程序。
小白:什么呢?
大东:我们可以使用内存流压工具在记忆中识别SysJoker有效载荷,或者在ESDR或SIEM中查找识别的材料。
白:G,你还是不明白。
Dadong: 没错。 我只是在演示如何完成它。 我需要你调查 Intezer 网络, 揭开你自己的信息, 更快地学习, 以及你刚才提到的学习。 我会检查你是否正在学习 下次我见到你时。
白:东是对的,但他第一年有功课。
大东:嗯?
白种人:我没有意见。承诺完成任务!
Dadong: Intezer也提供了一种人工消除感染的方法。
白:我认为上述登记表应予删除。
Dadong: 当然, 首先终止 SysJoker 进程, 然后删除与此相关的注册关键值, 以及所有与恶意软件相关的文件 。
白:我会亲自检查网络,明白了。
怀特,你非常清楚,你应该受到鼓励
萧白:东东,我有进展了,你还要说什么?
(掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声(掌声) (掌声) (掌声) (掌声) (掌声(掌声) (掌声) (掌声) (掌声(掌声) (掌声) (掌声) (掌声(掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声) (掌声(掌声) (掌声) (掌声) (掌声) (掌声) (掌声)) (掌声(掌声(掌声(掌声) (掌声)) (掌声(掌声(掌声)) (掌声(掌声)) (掌声)) (掌声(掌声)) (掌声)) (掌声(掌声(掌声(掌声)) (掌声) (掌声(掌声:掌声(掌声:掌声:掌声(掌声(掌声(掌声(掌声)) (掌声(掌声(掌声(掌声(掌声(掌声(掌声))好:掌声(掌声(掌声(掌声)) (掌声(掌声(掌声(掌声(掌声)),(掌声(掌声(掌声(掌声(掌声(掌声(掌声(掌
白:重复检查它已经完成。我下次再向你汇报。
参考资料:
1个月后,病毒被伪装成系统更新,摧毁了3台电脑,Windows、Mac和Linux。 我不知道,qq.
二. 恶意程序化妆器系统更新 https://ww.un.org/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc/sc No, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no,
三 SysJoker是电脑病原体
中国科学院中国科学院信息工程研究所