现在很多产品都标榜跨平台,而恶意软体也不例外,我们最常见的恶意软体,通常将攻击目标瞄准在单一作业系统上,不过这次出现的新款後门恶意软体非常特别,可以说打破过去我们的既定印象。这一款被命名为「SysJoker」是最新被发现的跨平台恶意软体,可影响到 Windows、macOS 和 Linux 三种系统。

新的「三位一体」後门恶意软体出现,Windows、macOS 与 Linux 都会受害

虽说以 Windows 系统为目标的恶意软体一抓一大把,但真正能够在 Windows、macOS 与 Linux 三种不同平台上逞凶的恶意软体很罕见。在 2021 年 12 月时, Intezer 的安全研究人员首度发现这款恶意软体并将之命名为「SysJoker」。从某种角度来说,SysJoker 在 Windows 以外的两个平台上更加狡猾,VirusTotal 也无法检测到恶意软体在 Linux 和 macOS 上的种种迹象。

▲在一部已经受感染的 M1 版 Mac 上使用 VirusTotal 也扫不出 SysJoker

SysJoker 的攻击走我们已经耳熟能详的「开後门」方式,为利用它的攻击者提供一个秘密间谍工具,可以隐密地渗透系统并控制上面的所有操作。Intezel 推断, SysJoker 应该是高阶威胁参与者(Advanced Threat Actor)的产物,并且暗示有潜在勒索软体的风险,在该单位的报告中写道:「根据恶意软体的能力」,我们评估攻击的目标是间谍活动,以及横向的扩散,很可能也会将投放勒索软体作为下一阶段的攻击。」

SysJoker 伪装成系统更新,并通过解码从 Google 云端硬碟上托管文件档案中检索到的字串来生成其 C2。在 Intezer 分析过程中,C2 更改了三次,表明攻击者处於活动状态并正在监视受感染的电脑,根据受害者和恶意软体的行为,可推断 SysJoker 或许在追逐特定目标。SysJoker 已上传到 VirusTotal,後缀为.ts,用於 TypeScript 档,此恶意软体很可能是透过受感染的 npm 包为散播媒介。下图就是 SysJoker 与 C2 的通讯流程:

这款恶意软体是从零开始重新编写,并非其他恶意软体的变种,其细节在以往的攻击中未曾见过,在过去的实务上也几乎没有发现过针对 Linux 的恶意软体。攻击者注册了至少 4 个不同的网域,并且从头开始为 Windows、macOS 与 Linux 编写,心思之缜密、手法之新颖很有观察的价值。在整个分析过程中,Intezer 也没有发现攻击者送出第二阶段攻击或指令,这表明该攻击有特定目标与特定操控者,多半会是由高阶威胁参与者(Advanced Threat Actor)执行下一步骤。