SysJoker-Malware-Erkennung
Inhaltsverzeichnis:
Neues Jahr, neuer Anfang! Und auch für Bedrohungsakteure. Lernen Sie eine brandneue Backdoor-Malware kennen, die in den letzten Monaten zunehmend im Cyberraum aufgetaucht ist. Sie wird SysJoker genannt und verfügt über mächtige Evasionsfähigkeiten, während sie in der Lage ist, große Betriebssysteme wie Windows, Linux und macOS anzugreifen.
SysJoker Malware-Analyse
Die SysJoker-Malware wurde erstmals im Dezember 2021 entdeckt, während Sicherheitsexperten von Intezer einen Angriff auf einen Linux-basierten Server einer ungenannten Bildungseinrichtung untersuchten. SysJoker-Analyse enthüllt, dass die neue Bedrohung angeblich für Cyber-Spionage und die Lieferung von Payloads in der zweiten Phase genutzt wird. Die Malware kann Backdoor-Zugriff auf Linux-, macOS- und Windows-Systeme bieten, was ihren Betreibern ermöglicht, Befehle auszuführen sowie Dateien herunter- und hochzuladen.
Obwohl speziell für größere Betriebssysteme von Grund auf neu geschrieben, zeigt SysJoker ein ähnliches Verhalten auf allen wichtigen Plattformen. Bei erfolgreichem Zugang zu einer Zielinstanz ist die Backdoor in der Lage, Systemdaten zu sammeln, Beständigkeit zu erlangen und mit dem Kommando- und Kontrollserver (C&C) unter der Kontrolle der Angreifer zu kommunizieren. Je nach den Anweisungen, die von den SysJoker-Operatoren über den C&C-Server empfangen werden, kann die Bedrohung bösartige Nutzlasten ablegen und ausführen sowie zusätzliche Befehle ausführen. Bemerkenswerterweise stellten Forscher fest, dass SysJoker Unterstützung für zwei zuvor nicht implementierte Befehle aufrechterhält, die angeblich zur Selbstlöschung gedacht sind.
Sicherheitsexperten schlagen vor, dass SysJoker von hochentwickelten Gegnern entwickelt wurde, da die neue Malware keine Code-Überlappung mit anderen bestehenden Bedrohungen aufweist, beeindruckende Evasionsfähigkeiten besitzt und ausschließlich in zielgerichteten Angriffen eingesetzt wird. Außerdem ist der Code von SysJoker von Grund auf neu für alle angegriffenen Betriebssysteme entwickelt.
Attack Kill Chain und bösartige Fähigkeiten
Intezer warnt, dass SysJoker bei der Zielausrichtung auf macOS- und Linux-Systeme als Systemupdate getarnt wird. Für Windows-Instanzen verwenden die Operatoren einen anderen Trick, indem sie die Bedrohung als Intel-Treiber tarnen. Bemerkenswerterweise sind die Namen der gefälschten Treiber ziemlich generisch, wobei die meisten als „updateMacOS“, „updateSystem“ usw. verteilt werden.
Nach der ersten Infektion beginnt SysJoker damit, System- und Netzdaten durch „Living off the Land“ (LotL)-Befehle zu sammeln. Die Daten werden dann protokolliert und sofort an den C&C-Server übertragen. In der nächsten Phase stärkt die Malware ihre Position, indem sie neue Einträge zu einem Registrierungsschlüssel hinzufügt. Schließlich verbindet sich die Malware über einen fest codierten Google Drive-Link mit dem C&C-Server der Angreifer, um zusätzliche Anweisungen zu erhalten.
SysJoker wurde in der zweiten Hälfte des Jahres 2021 aktiv von Gegnern genutzt, wobei die Malware-Operatoren besonders aufmerksam bei der Auswahl ihrer Opfer waren. Tatsächlich wurden nur wenige SysJoker-Proben in freier Wildbahn entdeckt, was auf die gezielte Natur der Kampagnen hinweist.
Andererseits blieb die Malware aufgrund ihrer Evasionsfähigkeiten fast ein halbes Jahr unter dem Radar. Insbesondere haben Bedrohungsakteure viel Aufwand in die Verschleierung dedizierter C&C-Server-Domains gesteckt. Die Domains werden dynamisch von einem Google Drive-Link abgerufen, was die Aktualisierung der Adresse erleichtert. Darüber hinaus wird der Datenverkehr zu Google Drive in einem Netzwerk normalerweise nicht als verdächtig angesehen.
Erkennung der SysJoker Backdoor-Malware
Da diese neue, stealth-artige SysJoker-Malware den Weg zur Kompromittierung von Maschinen, die auf macOS, Windows und Linux laufen, ebnet, ist es an der Zeit, gegen diese Multi-Plattform-Backdoor effektiv aufzurüsten. Um mögliche Angriffe zu identifizieren, laden Sie ein Set von kostenlosen Sigma-Regeln vom SOC Prime-Team herunter, die Verhaltensmuster der SysJoker-Backdoor erkennen.
SysJoker Backdoor C2 (über Proxy)
SysJoker Backdoor C2 (über DNS)
SysJoker Windows Backdoor-Erkennungsmuster (über cmdline)
SysJoker Windows Backdoor-Erkennungsmuster (über file_event)
SysJoker MacOS Backdoor-Erkennungsmuster (über file_event)
SysJoker Linux Backdoor-Erkennungsmuster (über file_event)
Diese Erkennungen sind für die folgenden SIEM-, EDR- und XDR-Plattformen übersetzt: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix und Open Distro.
Die vollständige Liste der Erkennungen im Threat Detection Marketplace-Repository der SOC Prime-Plattform ist verfügbar hier.
Möchten Sie die neuesten Bedrohungen jagen, die Bedrohungsuntersuchung automatisieren und Feedback und Überprüfung von über 20.000 Sicherheitsprofis erhalten? Treten Sie SOC Prime bei, der weltweit ersten Plattform für kollaborative Cyberabwehr, Bedrohungsjagd und -entdeckung, die sich mit über 20 SIEM-, EDR-, XDR-Plattformen integriert. Machen Sie Ihre Bedrohungserkennung einfacher, schneller und einfacher. Haben Sie hohe Ambitionen in der Cybersicherheit? Nehmen Sie an unserem Threat Bounty-Programm teil, entwickeln Sie Ihre eigenen Sigma-Regeln und erhalten Sie wiederkehrende Belohnungen für Ihren wertvollen Beitrag!
