新的後門漏洞「SysJoker」被發現可以用來攻擊跨平台的作業系統。根據 Intezer 的研究人員表示,首次是被發現在 Linux 的平台上,但不久之後,該漏洞以其他形式存在,並且在 Windows 及 macOS 平台上也有發現該漏洞。
這樣的情況是有點奇怪的,畢竟可以同時攻擊多個平台的惡意程式碼非常罕見,通常,一個惡意程式的誕生只會用來攻擊某一個平台中的特定漏洞。
根據研究人員表示,SysJoker 被認為是從 2021 年的下半年開始發起攻擊的,他們對存在在 macOS 上的 SysJoker 進行了分析之後發現,該程式碼是一個通用二進位檔(Universal binary,由蘋果電腦公司提出的一種程序代碼),涵蓋了 Intel 以及 Apple 最新的 ARM64 架構處理器,這意味著該漏洞不僅可以在舊有的 Intel 晶片上執行,連最新的 Apple Silicon 它也可以執行。
在第一次執行時,SysJoker 會將自己作為一個 macOS 的更新檔,並複製到使用者的 Library 之中,目的是為了持續存在在受感染的系統上。
接著在執行之後,SysJoker 會嘗試從 Google 的雲端硬碟中下載檔案,並且能夠根據伺服器的命令去執行檔案,包括可解壓縮下載可執行的檔案,或是更改解壓縮檔案的權限以執行該檔案。
根據 Windows 的分析,SysJoker 幾乎與一般執行檔的運作方式一樣,它偽裝成更新檔,與遠端的伺服器溝通並下載接收命令,並在目標的 Client 端上執行程式碼。而在被研究人員發現之後,大多數的防毒軟體已經開始注意到這個惡意程式,並仔細偵測它的目的及行動,但就目前來說,Intezer 還不知道惡意程式第二階段的攻擊是什麼,目的又是什麼。
如何檢測 SysJoker?
Intezer 公開了一個被攻擊的系統清單,包括它建立了哪些檔案,甚至允許該 SysJoker 持續存在的 LaunchAgent。
- /Library/MacOsServices
- /Library/MacOsServices/updateMacOs
- /Library/SystemNetwork
- /Library/LaunchAgents/com.apple.update.plist
惡意的 LaunchAgent 程式碼會放在 LibraryLaunchAgents/com.apple.update.plist 的路徑下,如果你在你的 Mac 上發現這些檔案,請立即刪除並一併刪除所有與之有關的檔案。目前仍然不知道該使用者是基於什麼原因而成為 SysJoker 的受害者。
你的下一步
TWDC 提供 macOS IT 人員相關學習課程,進一步了解 macOS 安全防護科技。或歡迎與我們諮詢 macOS 相關的終端防護軟體。
原文連結:https://appleinsider.com/articles/22/01/15/multi-platform-backdoor-discovered-targeting-macos-windows-linux
