GETOVERX FORUM Community Support
SysJoker (2021) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Backdoors (https://forum.getoverx.com/forumdisplay.php?fid=21)
+--- Thread: SysJoker (2021) (/showthread.php?tid=79)

SysJoker (2021) - mrwebfeeder - 11-29-2025

Nombre: SysJoker

Categoría: Backdoor sigiloso multi-plataforma (Windows / macOS / Linux)

Fecha de descubrimiento: 2021

Comportamiento (lo que hace y archivos que afecta):
- Multi-platform stealth backdoor:
- Diseñado para funcionar en Windows, macOS y Linux, adaptando rutas y mecanismos de persistencia según el sistema.
- Mantiene perfil bajo: archivos en rutas poco visibles, nombres que imitan componentes legítimos y uso de carpetas temporales o de usuario.
- Funciones típicas de backdoor:
- Recoge información básica del sistema (SO, procesos, IP, hostname, etc.).
- Contacta con un servidor de mando y control (C2) para recibir instrucciones.
- Puede descargar y ejecutar payloads adicionales, actualizarse o desinstalarse a petición del atacante.
- Archivos afectados:
- No cifra ni destruye datos; su objetivo es el acceso remoto sigiloso.
- Crea binarios y archivos de configuración en:
- Carpetas temporales o de usuario (por ejemplo, subdirectorios en Temp/AppData o equivalentes en macOS/Linux).
- Directorios usados para persistencia (LaunchAgents, cron, systemd, etc., según la plataforma).

Persistencia (comportamiento típico):
- Detect persistence in temporary folders:
- Crea directorios y ejecutables en:
- Rutas temporales o de usuario, a menudo con nombres genéricos o que simulan ser parte del sistema.
- Acompaña estos archivos con:
- Entradas de inicio automático (Run/RunOnce en Windows).
- Tareas programadas o servicios.
- LaunchAgents / cron / systemd en macOS y Linux.
- El uso de carpetas “no críticas” pero siempre presentes (Temp, AppData, etc.) le ayuda a:
- Evitar la atención del usuario.
- Sobrevivir a reinicios mientras mantiene un bajo perfil.

Hash real de referencia (SHA-256):
Muestra pública asociada a SysJoker:
Code:
7d5e6b44f9ca47a9aa175c931235b9a367364b5baffdd7bd5cc901ac7c1c38ef

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Detect persistence in temporary folders (EDR / HIPS):
    - Configurar el EDR para:
    - Vigilar creación de ejecutables y scripts en carpetas temporales y de perfil de usuario (Temp, AppData, Roaming, etc.).
    - Detectar nuevos elementos de inicio automático (Run/RunOnce, tareas programadas, LaunchAgents, cron jobs) que apunten a rutas temporales o de usuario.
    - Reglas recomendadas:
    - Marcar como sospechosos binarios que se auto-copian a carpetas temporales y se añaden al arranque.
    - Registrar y alertar cualquier cambio de persistencia ligado a rutas “no estándar”.
    - Respuesta:
    - Bloquear la creación/modificación de persistencia por procesos no confiables.
    - Matar el proceso responsable y registrar el evento en logs unificados.

  • Block C2 communication (Firewall + EDR):
    - En el firewall de GetOverX Shield:
    - Restringir conexiones salientes desde estaciones de trabajo a sólo puertos/destinos necesarios.
    - Bloquear dominios/IPs sospechosos o recién observados asociados a C2.
    - En el EDR:
    - Detectar procesos que:
    - Mantienen conexiones persistentes hacia hosts externos poco comunes.
    - Cambian de C2 dinámicamente (por ejemplo, usando URLs generadas o servicios de contenido).
    - Acciones:
    - Bloquear de inmediato las conexiones C2 identificadas.
    - Aislar el host si se confirma actividad de backdoor (permitiendo solo tráfico de gestión/forense).

  • AV detect SysJoker droppers (Antivirus + Sandbox):
    - Mantener el motor AV de GetOverX Shield actualizado con firmas para:
    - Binarios de SysJoker.
    - Droppers y scripts que lo instalan.
    - Escanear:
    - Directorios de usuario, Temp/AppData, y rutas de aplicaciones descargadas.
    - Repositorios donde se almacenen instaladores y paquetes (shares, servidores de archivos).
    - Integrar análisis en Sandbox:
    - Ejecutar adjuntos e instaladores sospechosos en la Sandbox antes de permitirlos en el entorno real.
    - Observar si:
    - Crean ejecutables en carpetas temporales.
    - Configuran persistencia.
    - Intentan comunicarse con C2.
    - Cuarentenar:
    - Droppers y payloads detectados por firmas AV o comportamiento sospechoso en Sandbox.

  • Medidas adicionales recomendadas:
    - Auditoría periódica de:
    - Tareas programadas, servicios y claves de arranque.
    - Nuevos ejecutables en rutas temporales y de perfil de usuario.
    - Refuerzo de políticas:
    - Limitar ejecución de binarios desde carpetas temporales cuando sea posible.
    - Separar cuentas de usuario y administrativas para reducir el impacto del backdoor.

Notas opcionales:
- SysJoker destaca por su enfoque multi-plataforma y su énfasis en el sigilo, por lo que la combinación de monitorización de persistencia, control de C2 y detección de droppers resulta clave para su identificación y bloqueo temprano.