SysJoker 맬웨어 탐지

새해, 새 출발! 그리고 위협 행위자들에게도 마찬가지입니다. 지난 몇 달 동안 사이버 도메인을 점점 더 공격한 새로운 백도어 멀웨어를 만나보세요. SysJoker라는 이름의 이 위협은 강력한 회피 기능을 갖추고 있으며 Windows, Linux, macOS를 포함한 주요 운영 체제를 타겟팅할 수 있습니다.

SysJoker 멀웨어 분석

SysJoker 멀웨어는 2021년 12월 처음 발견되었으며, 널리 알려지지 않은 교육 기관의 Linux 기반 서버에 대한 공격을 조사하던 Intezer의 보안 전문가들이 발견했습니다. SysJoker 분석 새로운 위협이 사이버 스파이 행위와 2차 페이로드 전송에 사용된다는 사실이 밝혀졌습니다. 이 멀웨어는 Linux, macOS, Windows 시스템에 백도어 접근을 제공하여 유지 인원들이 명령을 실행하고 파일을 다운로드하고 업로드할 수 있게 합니다.

주요 OS에 대해 처음부터 작성되었지만, SysJoker는 모든 주요 플랫폼에서 유사한 행동을 보입니다. 대상 인스턴스에 대한 초기 접점을 확보한 후, 백도어는 시스템 데이터를 수집하고 지속성을 확보하며 공격자들이 제어하는 명령 및 제어(C&C) 서버와 통신할 수 있습니다. SysLoker 운영자로부터 C&C 서버를 통해 받은 지침에 따라 이 위협은 악성 페이로드를 떨어뜨리고 실행하며 추가 명령을 실행할 수 있습니다. 특히, 연구자들은 SysJoker가 두 개의 이전에 구현되지 않은 명령을 지원하고 있으며, 이는 자가 삭제를 위한 것이라고 추정하고 있습니다.

보안 전문가들은 SysJoker가 어떤 기존 위협과도 코드 중복이 없으며, 인상적인 회피 기능을 가지고 있으며, 오직 표적 공격에 사용되는 등 고도로 정교한 적대자들에 의해 개발되었을 가능성이 높다고 제안합니다. 또한, SysJoker의 코드는 모든 대상 운영 체제에 대해 처음부터 개발되었습니다.

공격 킬 체인 및 악성 기능

Intezer는 SysJoker가 macOS 및 Linux 시스템을 대상으로 할 때 시스템 업데이트로 위장하고 있음을 경고합니다. Windows 인스턴스에서는 운영자들이 인텔 드라이버로 위장하는 또 다른 방법을 사용합니다. 특히, 거짓 드라이버의 이름은 상당히 일반적이며, 대부분 “updateMacOS”, “updateSystem” 등으로 푸시됩니다.

초기 감염 후, SysJoker는 Living off the Land (LotL) 명령을 통해 시스템 및 네트워크 데이터를 수집하기 시작합니다. 그런 다음 데이터가 로그에 기록되고 즉시 C&C 서버로 전송됩니다. 다음 단계에서 이 멀웨어는 자신의 위치를 강화하여 레지스트리 키에 새로운 항목을 추가합니다. 마지막으로, 하드코딩된 Google 드라이브 링크를 사용하여 공격자들의 C&C 서버에 연결하여 추가 지침을 받습니다.

SysJoker는 2021년 하반기에 활동적으로 적대자들에 의해 활용되기 시작했으며, 멀웨어 운영자들은 피해자를 선택함에 있어 특히 주의를 기울였습니다. 실제로 야생에서 소수의 SysJoker 샘플만이 탐지되었으며, 이는 캠페인의 표적성을 시사합니다.

한편, 이 멀웨어는 거의 반 년 동안 탐지되지 않았는데, 이는 그 회피 능력 때문입니다. 특히, 위협 행위자들은 전용 C&C 서버 도메인을 혼란에 빠뜨리기 위해 많은 노력을 기울였습니다. 도메인은 Google 드라이브 링크에서 동적으로 불러오므로 주소를 쉽게 업데이트할 수 있습니다. 게다가, Google 드라이브로의 트래픽은 일반적으로 네트워크에서 의심스럽지 않게 여겨집니다.

SysJoker 백도어 멀웨어 감지

이 새로운 은밀한 SysJoker 멀웨어가 macOS, Windows, Linux에서 실행 중인 기기를 손상시키고 있는 지금, 이 멀티플랫폼 백도어에 효과적으로 대비할 때입니다. 가능성 있는 공격을 식별하려면 SOC Prime 팀이 제공하는 무료 Sigma 규칙 세트를 다운로드하여 SysJoker 백도어의 행동 패턴을 감지하세요.

SysJoker 백도어 C2 (프록시를 통해)

SysJoker 백도어 C2 (dns를 통해)

SysJoker Windows 백도어 감지 패턴 (cmdline을 통해)

SysJoker Windows 백도어 감지 패턴 (file_event를 통해)

SysJoker MacOS 백도어 감지 패턴 (file_event를 통해)

SysJoker Linux 백도어 감지 패턴 (file_event를 통해)

이러한 감지는 다음의 SIEM, EDR & XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix, Open Distro.

SOC Prime 플랫폼의 위협 감지 마켓플레이스 저장소의 전체 감지 목록은 여기.

최신 위협을 사냥하고, 위협 조사 자동화 및 보안 전문가 20,000명 이상의 커뮤니티로부터 피드백과 검증을 받고 싶으신가요? 20개 이상의 SIEM, EDR, XDR 플랫폼과 통합된 세계 최초의 협력적 사이버 방어, 위협 사냥 및 탐지 플랫폼인 SOC Prime에 참여하세요. 위협 감지를 더 쉽게, 빠르게, 간단하게 만드세요. 사이버 보안에서 큰 포부를 갖고 계신가요? 우리의 Threat Bounty 프로그램에 참여하여 Sigma 규칙을 개발하고, 귀하의 귀중한 기여에 대한 반복 보상을 받으세요!

플랫폼으로 가기 위협 현상금 참여