Phát hiện backdoor nguy hiểm nhắm đến cả Windows, macOS và Linux

Các nhà nghiên cứu an ninh mạng quốc tế vừa phát đi thông báo khẩn về một loại phần mềm độc hại đa nền tảng mới có tên 'SysJoker' đã và đang xuất hiện rầm rộ trên toàn thế giới. Mã độc dạng backdoor này hiện đang tích cực nhắm mục tiêu vào Windows, Linux và macOS - ba nền tảng hệ điều hành PC phổ biến nhất thế giới - với khả năng lẩn tránh phát hiện cực kỳ tinh vi.

Nếu bạn chưa biết thì backdoor là một công cụ (chương trình hoặc liên quan tới chương trình) được hacker sử dụng để cài đặt trên hệ thống nhằm vượt qua hàng rào bảo mật của một thiết bị, phần mềm nào từ xa. Vì hệ thống bảo mật của máy tính không thể nhìn thấy các backdoor nên nạn nhân có thể không nhận ra máy tính của mình đã xuất hiện lỗ hổng nguy hiểm này. Nói cách khác, người dùng sẽ không hề biết đến sự tồn tại của backdoor trên hệ thống của mình cho tới khi nó bị phát hiện.

Việc phát hiện ra backdoor trong các thiết bị nhìn chung là vô cùng khó khăn. Phần mềm độc hại mới này được phát hiện và đặt tên bởi các nhà nghiên cứu tại Intezer, những người lần đầu tiên nhìn thấy dấu hiệu hoạt động của nó vào tháng 12 năm 2021, sau khi điều tra cuộc tấn công vào một máy chủ web dựa trên Linux quy mô khá lớn.

Tương tự như các dạng backdoor khác, sự đáng sợ của SysJoker nằm ở chỗ nó rất giỏi trong việc lẩn tránh bị phát hiện, cho phép nó gây thiệt hại âm ỉ, kéo dài mà nạn nhân không hề nhận ra.

Một “Joker” không thích thu hút sự chú ý

Phần mềm độc hại này được viết bằng C++. Đặc biệt nó sẽ có nhiều biến thể khác nhau, trong đó mỗi biến thể lại được tinh chỉnh cho phù hợp với từng hệ điều hành mà nó nhắm mục tiêu. Điều đáng nói là tất cả chúng đều không bị phát hiện trên VirusTotal, một trang web quét phần mềm độc hại trực tuyến nổi tiếng sử dụng 57 công cụ antivirus khác nhau.

Trên Windows, SysJoker sử dụng các lệnh PowerShell để thực hiện những tác vụ độc hại sau:

• Tìm nạp ZIP SysJoker từ kho lưu trữ GitHub.
• Giải nén nó trên "C:\ProgramData\RecoverySystem\".
• Triển khai payload.

Sau đó, phần mềm độc hại sẽ “ngủ” trong tối đa 2 phút trước khi tạo một thư mục mới và tự sao chép dưới dạng Intel Graphics Common User Interface Service (“igfxCUIService.exe”).

Tiếp theo, SysJoker sẽ thu thập thông tin về máy bằng chuỗi lệnh Living off the Land (LOtL). SysJoker sử dụng các tệp văn bản tạm thời khác nhau để ghi lại kết quả của các lệnh. Các tệp văn bản này sau đó sẽ bị xóa ngay lập tức, được lưu trữ trong một đối tượng JSON, sau đó mã hóa và ghi vào tệp có tên "microsoft_Windows.dll”.

Sau khi thu thập dữ liệu hệ thống và mạng, phần mềm độc hại sẽ tự đang cao sự ổn định của mình bằng cách thêm một registry key mới:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bước tiếp theo đối với phần mềm độc hại là tiếp cận với máy chủ C2 do hacker kiểm soát bằng cách sử dụng liên kết Google Drive được mã hóa cứng.

Liên kết lưu trữ tệp "domain.txt" mà tác nhân thường xuyên cập nhật để cung cấp các máy chủ khả dụng cho báo hiệu trực tiếp. Danh sách này liên tục thay đổi để tránh bị phát hiện và chặn.

Thông tin hệ thống được thu thập trong giai đoạn đầu tiên của quá trình lây nhiễm được gửi dưới dạng handshake đầu tiên tới C2. C2 trả lời bằng một mã thông báo duy nhất đóng vai trò là mã nhận dạng của điểm cuối bị nhiễm.

Từ đó, C2 có thể ra lệnh cho backdoor cài đặt thêm phần mềm độc hại, chạy lệnh trên thiết bị bị nhiễm, hoặc thậm chí ra lệnh cho backdoor tự xóa khỏi thiết bị.

Quy trình tương tự cũng được tìm thấy trên các biến thể Linux và macOS.

Phát hiện và ngăn ngừa

Intezer đã cung cấp đầy đủ các chỉ số về sự xâm phạm (IOC) trong báo cáo của mình. Qua đó các quản trị viên có thể sử dụng để phát hiện sự hiện diện của SysJoker trên hệ thống của mình.

Dưới đây là một số IOC cho từng hệ điều hành:

Trên Windows, các tệp phần mềm độc hại nằm trong thư mục:

C:\ProgramData\RecoverySystem
tại C:\ProgramData\SystemData\igfxCUIService.exe
 và C:\ProgramData\SystemData\microsoft_Windows.dll

Để tồn tại lâu dài, phần mềm độc hại tạo giá trị Autorun "Run" của "igfxCUIService" để khởi chạy tệp thực thi phần mềm độc hại igfxCUIService.exe.

Trên Linux, các tệp và thư mục được tạo trong "/.Library/”. Tính bền vững của backdoor được thiết lập bằng cách tạo cron job sau: @reboot (/.Library/SystemServices/updateSystem).

Trên macOS, các tệp được tạo trên "/Library/" và đạt được tính ổn định qua LaunchAgent theo đường dẫn: /Library/LaunchAgents/com.apple.update.plist.

Các miền C2 được chia sẻ trong báo cáo Intezer như sau:

• https[://]bookitlab[.]tech
• https[://]winaudio-tools[.]com
• https[://]graphic-updater[.]com
• https[://]github[.]url-mini[.]com
• https[://]office360-update[.]com
• https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
• https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Nếu bạn phát hiện ra hệ thống của mình đã bị xâm nhập bởi SysJoker, hãy làm theo 3 bước sau:

1. Diệt tất cả các tiến trình liên quan đến phần mềm độc hại và xóa thủ công các tệp cũng như cơ chế duy trì liên quan.
2. Chạy trình quét bộ nhớ để đảm bảo rằng tất cả các tệp độc hại đã được “nhổ” khỏi hệ thống.
3. Điều tra các điểm vào tiềm năng, kiểm tra cấu hình tường lửa và cập nhật tất cả các công cụ phần mềm lên phiên bản mới nhất hiện có.