Détection du Malware SysJoker

Nouvelle année, nouveau départ ! Et aussi pour les acteurs de la menace. Découvrez un tout nouveau malware de type backdoor qui a de plus en plus frappé le domaine cyber au cours des derniers mois. Surnommé SysJoker, la menace obtient des capacités d’évasion puissantes tout en étant capable de cibler les principaux systèmes d’exploitation, y compris Windows, Linux et macOS.

Analyse du Malware SysJoker

Le malware SysJoker a été repéré pour la première fois en décembre 2021, tandis que des experts en sécurité chez Intezer enquêtaient sur une attaque contre un serveur Linux d’un établissement d’enseignement anonyme. analyse SysJoker révèle que la nouvelle menace est prétendument utilisée pour la cyber-espionnage et la livraison de charges utiles de deuxième niveau. Le malware est capable de fournir un accès backdoor aux systèmes Linux, macOS et Windows, accordant à ses mainteneurs la capacité d’exécuter des commandes, de télécharger et de téléverser des fichiers.

Bien qu’écrit de zéro pour les principaux OS, SysJoker montre un comportement similaire sur toutes les principales plateformes. Après avoir pris pied initial sur l’instance ciblée, le backdoor est capable de collecter des données système, de gagner en persistance et de communiquer avec le serveur de commande et de contrôle (C&C) sous le contrôle des attaquants. Selon les instructions reçues des opérateurs de SysLoker via le serveur C&C, la menace peut déposer et exécuter des charges utiles malveillantes ainsi qu’exécuter des commandes supplémentaires. Notamment, les chercheurs ont identifié que SysJoker maintient le support de deux commandes précédemment non mises en œuvre, supposément destinées à l’auto-suppression.

Les experts en sécurité suggèrent que SysJoker a été développé par des adversaires hautement sophistiqués puisque le nouveau malware n’a aucun chevauchement de code avec toute autre menace existante, obtient d’impressionnantes capacités d’évasion et est utilisé dans des attaques ciblées exclusivement. De plus, le code de SysJoker est développé de zéro pour tous les systèmes d’exploitation ciblés.

Chaîne de destruction d’attaque et capacités malveillantes

Intezer avertit que SysJoker, lorsqu’il cible les systèmes macOS et Linux, est déguisé en mise à jour système. Pour les instances Windows, les opérateurs utilisent une autre astuce, déguisant la menace sous forme de pilote Intel. Notamment, les noms des faux pilotes sont assez génériques, la plupart d’entre eux étant poussés sous le nom d’«updateMacOS», «updateSystem», etc.

Après l’infection initiale, SysJoker commence à rassembler des données système et réseau via des commandes Living off the Land (LotL). Les données sont ensuite journalisées puis immédiatement transférées au serveur C&C. À l’étape suivante, le malware renforce sa position en ajoutant de nouvelles entrées à une clé de registre. Enfin, le malware se connecte au serveur C&C des attaquants en utilisant un lien Google Drive codé en dur pour recevoir des instructions supplémentaires.

SysJoker a commencé à être activement utilisé par les adversaires dans la seconde moitié de 2021, les opérateurs de malware étant particulièrement attentifs lors du choix de leurs victimes. En fait, un petit nombre d’échantillons de SysJoker ont été détectés dans la nature, indiquant la nature ciblée des campagnes.

D’autre part, le malware est resté sous le radar pendant près de la moitié de l’année grâce à ses capacités d’évasion. En particulier, les acteurs de la menace ont beaucoup travaillé à obfusquer les domaines des serveurs C&C dédiés. Les domaines sont récupérés dynamiquement à partir d’un lien Google Drive, ce qui facilite la mise à jour de l’adresse. En outre, le trafic vers Google Drive n’est généralement pas considéré comme suspect dans un réseau.

Détection du Malware Backdoor SysJoker

Alors que ce nouveau malware furtif SysJoker ouvre la voie à la compromission des machines fonctionnant sous macOS, Windows et Linux, il est temps de renforcer efficacement la défense contre ce backdoor multi-plateforme. Pour identifier les attaques possibles, optez pour le téléchargement d’un ensemble de règles Sigma gratuites de l’équipe SOC Prime qui détectent les schémas de comportement du backdoor SysJoker.

SysJoker Backdoor C2 (via proxy)

SysJoker Backdoor C2 (via dns)

Schémas de détection de backdoor SysJoker Windows (via cmdline)

Schémas de détection de backdoor SysJoker Windows (via file_event)

Schémas de détection de backdoor SysJoker MacOS (via file_event)

Schémas de détection de backdoor SysJoker Linux (via file_event)

Ces détections ont des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix, et Open Distro.

La liste complète des détections dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.

Enthousiaste de chasser les dernières menaces, d’automatiser l’enquête sur les menaces, et de recevoir des avis et validations par une communauté de plus de 20 000 professionnels de la sécurité ? Rejoignez SOC Prime, la première plateforme mondiale pour la défense cyber collaborative, la chasse aux menaces et la découverte intégrant plus de 20 plateformes SIEM, EDR, XDR. Facilitez, accélérez et simplifiez votre détection des menaces. Vous avez de grandes ambitions en cybersécurité ? Rejoignez notre programme Threat Bounty, développez vos propres règles Sigma, et obtenez des récompenses récurrentes pour votre précieuse contribution !

Aller à la plateforme Rejoindre Threat Bounty