New SysJocker backdoor targets Windows, macOS, and Linux
윈도우, 리눅스, 맥OS 모두에서 탐지를 회피할 수 있는 기능을 갖춘 새로운 다중 플랫폼 백도어 악성코드인 'SysJocker’가 발견되었습니다.
이는 Intezer의 연구원들이 2021년 12월 리눅스 기반 웹 서버에 대한 공격을 조사하던 중 처음으로 발견되었습니다.
해당 악성코드 샘플이 VirusTotal에 처음으로 업로드 된 시기는 2021년 상반기이며, 이는 C2 도메인 등록 시간과도 일치합니다.
보안 분석가들은 SysJoker에 대한 자세한 기술 보고서를 공개했습니다.
탐지를 피하는 조커
이 악성코드는 C++로 작성되었으며, 각 변종은 타깃 운영 체제에 맞게 조정되었지만 온라인 악성코드 검사 사이트인 VirusTotal의 안티바이러스 엔진 57개 모두 이 악성코드를 탐지할 수 없었습니다.
SysJocker는 윈도우에서 PowerShell 명령을 사용하여 아래 작업을 수행하는 1단계 드로퍼 DLL을 사용합니다.
- GitHub 저장소에서 SysJocker ZIP 가져오기
- "C:\ProgramData\RecoverySystem\"에 압축 풀기
- 페이로드 실행하기
이후 악성코드는 새 디렉터리를 만들기 전에 최대 2분 동안 절전 모드로 전환되고, 자기자신을 Intel Graphics Common User Interface Service("igfxCUIService.exe")로 복사합니다.
<윈도우에서의 SysJoker 전체 실행 프로세스>
Intezer는 보고서를 통해 아래와 같이 설명했습니다.
"다음으로 SysJoker는 LOtL(Living off Land) 명령을 사용하여 기계에 대한 정보를 수집합니다. SysJoker는 다른 임시 텍스트 파일을 사용하여 명령 결과를 기록합니다."
"이 텍스트 파일은 즉시 삭제되고, JSON 개체에 저장된 다음 인코딩되어 "microsoft_Windows.dll" 파일에 기록됩니다."
악성코드는 시스템 및 네트워크 데이터를 수집한 후 새 레지스트리 키(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)를 추가하여 지속성을 얻습니다. 이 지점으로 이어지는 모든 기능 사이에는 랜덤 슬립 시간이 삽입됩니다.
다음 단계는 공격자가 제어하는 C2 서버에 접근하는 것이며, 이를 위해 하드코딩된 구글 드라이브 링크를 사용합니다.
<하드코딩된 구글 드라이브 링크>
링크는 공격자가 라이브 비콘에 사용 가능한 서버를 제공하기 위해 정기적으로 업데이트하는 "domain.txt" 파일을 호스팅합니다. 이 목록은 탐지 및 차단을 피하기 위해 지속적으로 변경됩니다.
감염 1단계에서 수집된 시스템 정보는 1차 핸드셰이크로 C2로 전송됩니다. C2는 감염된 엔드포인트의 식별자 역할을 하는 고유 토큰으로 응답합니다.
이 지점에서 부터 C2는 백도어에 추가로 악성코드를 설치하도록 지시하거나 감염된 기기에서 명령을 실행하거나 기기에서 자신을 제거하도록 명령할 수 있습니다. 하지만 마지막 두 기능은 아직까지 구현되지 않았습니다.
<SysJoker C2 통신 다이어그램>
Linux 및 macOS 변종에는 DLL 형태의 1단계 드로퍼가 없지만, 결국에는 감염된 기기에서 동일한 악성 동작을 수행합니다.
탐지 및 예방
Intezer는 관리자가 감염된 기기에 SysJoker가 존재하는지 확인하는데 사용할 수 있는 전체 IOC(Indicator of Compromise)를 공개했습니다.
아래는 각 운영 체제의 IOC에 대한 간략한 설명입니다.
윈도우: 악성코드 파일은 "C:\ProgramData\RecoverySystem" 폴더, C:\ProgramData\SystemData\igfxCUIService.exe, C:\ProgramData\SystemData\microsoft_Windows.dll에 위치합니다. 악성코드는 지속성을 얻기 위해 악성코드 실행 파일인 igfxCUIService.exe를 시작하는 "igfxCUIService"의 자동 실행 "Run"값을 생성합니다.
리눅스: 파일 및 디렉터리는 "/.Library/" 아래에 생성되고, @reboot(/.Library/SystemServices/updateSystem) 크론 작업을 생성하여 지속성을 얻습니다.
macOS: 파일은 "/Library/"에 생성되고 /Library/LaunchAgents/com.apple.update.plist 경로에서 LaunchAgent를 통해 지속성을 얻습니다.
Intezer 보고서에서 공유한 C2 도메인은 아래와 같습니다.
https[://]bookitlab[.]tech
https[://]winaudio-tools[.]com
https[://]graphic-updater[.]com
https[://]github[.]url-mini[.]com
https[://]office360-update[.]com
https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu
시스템이 SysJoker에 감염된 것으로 확인될 경우 아래 세 단계를 따르시기 바랍니다.
1. 악성코드와 관련된 모든 프로세스를 종료하고 파일 및 관련 지속성 메커니즘을 수동으로 삭제하기
2. 메모리 스캐너를 실행해 감염된 시스템에서 모든 악성 파일이 제거되었는지 확인하기
3. 잠재적 진입점을 조사하고, 방화벽 구성을 확인하고, 모든 소프트웨어 툴을 최신 버전으로 업데이트하기
출처:
https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/ (IOC)
Nanocore, Netwire, AsyncRAT 배포에 클라우드 서비스 악용돼 (0) | 2022.01.13 |
---|---|
다양한 업체의 라우터 수백만 대에 영향을 미치는 새로운 KCodes NetUSB 버그 발견 (0) | 2022.01.12 |
AvosLocker 랜섬웨어의 리눅스 버전, VMware ESXi 서버 노려 (0) | 2022.01.11 |
유명 URL 파서 라이브러리에서 버그 12개 이상 발견돼 (0) | 2022.01.11 |
마이크로소프트 이후 SonicWall에서도 제품이 Y2K22에 취약하다 밝혀 (0) | 2022.01.10 |
댓글 영역