Detecção de Malware SysJoker

Ano Novo, novo começo! E para os agentes de ameaça também. Conheça um malware de backdoor totalmente novo que tem atingido cada vez mais o domínio cibernético nos últimos meses. Apelidado de SysJoker, a ameaça possui poderosas capacidades de evasão, além de ser capaz de atingir grandes sistemas operacionais, incluindo Windows, Linux e macOS.

Análise do Malware SysJoker

O malware SysJoker foi observado pela primeira vez em dezembro de 2021, enquanto especialistas em segurança na Intezer estavam investigando um ataque contra um servidor baseado em Linux de uma instituição educacional não identificada. análise do SysJoker revela que a nova ameaça é supostamente usada para ciberespionagem e entrega de cargas de segunda etapa. O malware é capaz de fornecer acesso de backdoor a sistemas Linux, macOS e Windows, permitindo que seus mantenedores executem comandos, baixem e carreguem arquivos.

Embora escrito do zero para os principais sistemas operacionais, o SysJoker mostra comportamento semelhante em todas as principais plataformas. Após obter a entrada inicial na instância alvo, o backdoor é capaz de coletar dados do sistema, ganhar persistência e se comunicar com o servidor de comando e controle (C&C) sob controle dos atacantes. Dependendo das instruções recebidas dos operadores do SysJoker via servidor C&C, a ameaça pode soltar e executar cargas maliciosas, bem como executar comandos adicionais. Notavelmente, os pesquisadores identificaram que o SysJoker mantém suporte para dois comandos previamente não implementados, supostamente destinados à autodestruição.

Especialistas em segurança sugerem que o SysJoker foi desenvolvido por adversários de alta sofisticação, uma vez que o novo malware não tem sobreposição de código com qualquer outra ameaça existente, possui impressionantes capacidades de evasão e é usado em ataques direcionados exclusivamente. Além disso, o código do SysJoker é desenvolvido do zero para todos os sistemas operacionais visados.

Cadeia de Morte do Ataque e Capacidades Maliciosas

A Intezer adverte que o SysJoker, ao atingir sistemas macOS e Linux, é disfarçado como uma atualização de sistema. Para as instâncias Windows, os operadores usam outro truque, disfarçando a ameaça como um driver Intel. Notavelmente, os nomes dos drivers falsos são bastante genéricos, com a maioria sendo divulgada como “updateMacOS”, “updateSystem”, etc.

Após a infecção inicial, o SysJoker começa a coletar dados de sistema e rede através de comandos Living off the Land (LotL). Os dados são então registrados e imediatamente transferidos para o servidor C&C. Na próxima etapa, o malware reforça sua posição, adicionando novas entradas a uma chave de registro. Finalmente, o malware se conecta ao servidor C&C dos atacantes usando um link fixo do Google Drive para receber instruções adicionais.

O SysJoker começou a ser ativamente usado por adversários na segunda metade de 2021, com operadores de malware sendo particularmente atentos na escolha de suas vítimas. Na verdade, um pequeno número de amostras de SysJoker foi detectado em campo, apontando para a natureza direcionada das campanhas.

Por outro lado, o malware estava passando despercebido há quase meio ano devido às suas capacidades de evasão. Particularmente, os agentes de ameaça investiram muito esforço em ofuscar domínios específicos do servidor C&C. Os domínios são dinamicamente buscados de um link do Google Drive, facilitando a atualização do endereço. Além disso, o tráfego para o Google Drive geralmente não é considerado suspeito em uma rede.

Detectando o Malware de Backdoor SysJoker

À medida que este novo malware furtivo SysJoker está abrindo caminho para comprometer máquinas que rodam em macOS, Windows e Linux, é hora de se reforçar eficientemente contra este backdoor multiplataforma. Para identificar possíveis ataques, opte por baixar um conjunto de regras Sigma gratuitas da equipe SOC Prime que detectam padrões de comportamento do backdoor SysJoker.

SysJoker Backdoor C2 (via proxy)

SysJoker Backdoor C2 (via DNS)

Padrões de Detecção de Backdoor do SysJoker para Windows (via linha de comando)

Padrões de Detecção de Backdoor do SysJoker para Windows (via evento de arquivo)

Padrões de Detecção de Backdoor do SysJoker para macOS (via evento de arquivo)

Padrões de Detecção de Backdoor do SysJoker para Linux (via evento de arquivo)

Essas detecções têm traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix e Open Distro.

A lista completa de detecções no repositório Threat Detection Marketplace da plataforma SOC Prime está disponível aqui.

Ansioso para caçar as últimas ameaças, automatizar a investigação de ameaças e obter feedback e verificação por uma comunidade de mais de 20.000 profissionais de segurança? Junte-se ao SOC Prime, a primeira plataforma do mundo para defesa cibernética colaborativa, caça e descoberta de ameaças que se integra com mais de 20 plataformas SIEM, EDR, XDR. Torne sua detecção de ameaças mais fácil, rápida e simples. Tem grandes ambições em cibersegurança? Junte-se ao nosso programa Threat Bounty, desenvolva suas próprias regras Sigma e receba recompensas recorrentes por sua valiosa contribuição!

Ir para a Plataforma Junte-se ao Threat Bounty