[뉴스] Sysjoker (크로스 플랫폼 백도어)

헐 요즘 크로스플랫폼 지원하는 앱들이 많아졌습니다.  윈도우나 리눅스 Mac등을 동시에 지원하는 애플리케이션들이 늘어나고 있는데요.. -0-  그중에 악성 백도어도 크로스 플랫폼으로 나오기 시작하네요... 

 

SysJoker 백도어는 macOS, Windows 와 Linux까지 여러 운영체제를 공격할수 있습니다. 

2021년 퍼지기 시작한 이 백도어는 intel , arm64가리지 않는 범용 바이러스 입니다. 

자체적으로 구글 Drive 계정을 통해 제어서버 명령에 따라 실행 파일을 다운로드 하여 실행하게 됩니다. 

윈도우에서는 업데이트인것처럼 가장하고 원격 서버에 접속하여 페이로드를 다운로드 하고 다른 명령을 수신하여 대상 시스템을 공격하는 방식으로 작동합니다. 

 

일반적으로 감염되었다고 하더라도 잠복하고 있으며, 공격자가 다음명령을 기다리는 상태가 됩니다. 

랜섬웨어 후속공격 준비중인지 명확히 알려진바는 없습니다. 

또한 어떤방식으로 Sysjoker에 감염되었는지 경로또한 불분명합니다. 

 

- Windows 

ProgramData\RecoverySystem 폴더내의  igfxCUIService.exe , Windows.dll등을 포함한 이름으로 저장됩니다.  또한 igfxCUIService 라는 실행설정을 만들고 igfxCUIService.exe를 실행합니다. 

인텔 그래픽드라이버와 동일한 이름을 사용하는 관계로 헷갈리기 쉽습니다.

 

- macOS 

Library 에 생성되며 update.plist 를 포함한 이름으로 저장및 LaunchAgent등을 통해 실행됩니다. 

 

- Linux

.Library 에 생성되며 cron 작업을 생성하여 실행됩니다. 

updateSystem으로 가장하여 실행되므로 주의하셔야 합니다. 

 

 

악성 코드와 관련된 모든 프로세스를 강제 종료하여야 하며, 관련된 디렉토리및 파일을 모두 수동으로 삭제 해야 합니다.  메모리 스캐너를 실행 악성 파일이 시스템에서 제거되었는지 확인해야 합니다. 

방화벽 구성을 확인 및 모든 소프트웨어를 최신버전으로 업데이트합니다. 

-0- 그냥 일반적인 대응이라 결과는 불분명합니다.