Lu0bot Malware

På trods af at det blev opdaget af infosec-samfundet tilbage i februar 2021, har et særligt stykke ondsindet software fortsat været en gåde med ukendte muligheder. Navngivet Lu0bot Malware, blev truslen observeret i drift forbundet med GCleaner (Garbage Cleaner) last sælger. I det væsentlige fungerer GCleaner som en slags mellemmand i cyberkriminalitetslandskabet. Det er en af de mange enheder, der kompromitterer enheder, men i stedet for at eskalere angrebene selv tilbyder de den etablerede adgang eller misbrugte brugeroplysninger til salg til andre hackergrupper. Kunderne kan derefter udnytte den erhvervede adgang i henhold til deres dårlige tanker.

Flerlags anti-analyseteknikker

Mange malware-trusler er udstyret med modforanstaltninger mod analyse. Lu0bot Malware ser imidlertid ud til at være på et helt andet niveau. En forsker, der opererer under navnet Fumik0_, har forsøgt at kaste lys over trusselens indre funktion ved at frigive en detaljeret rapport.

Oprindeligt ankommer Lu0bot Malware til den målrettede enhed som en ekstrem lille C / C ++ nyttelast med en enkelt udviklet funktion - at udføre en JavaScript-linjekode med en linje via WinExec (). Det endelige mål er at hente og starte en NodeJS-runtime. Efter etablering af Node.js-serveren på den gennembrudte enhed aktiverer Lu0bot en kompleks JavaScript-kode, der skjuler trusselens hovedfunktionalitet på forskellige måder. For eksempel er truslen i stand til at skifte mellem UDP- og TCP-protokollerne tilfældigt som den valgte kommunikationskanal med Command-and-Control-serveren (C2, C&C). Derudover bruger truslen et bredt sæt krypteringsalgoritmer til at kryptere forskellige sektioner af dens kodebase - XOR, AES-128-CBC, Diffie-Hellmann og Blowfish.

Dynamisk intern struktur

Formentlig nok er det mest imponerende træk ved Lu0bot dens evne til dynamisk at blive justeret af trusselsaktøren. Truslen kan modtage klasser og variabler i realtid fra sin C2-server. Denne dynamiske struktur forhindrer forskere i at skelne mellem hovedfunktionaliteten og dermed målene for trusselsaktøren. Det, der hidtil er bestemt, er, at Lu0bot er ekstremt effektiv til at indsamle systemoplysninger og information om de kompromitterede systemer. Denne adfærd deles imidlertid mellem de fleste af de moderne malware-trusler og giver ikke indsigt i målene for den særlige trusselsaktør. Faktisk kunne den dynamiske interne struktur af truslen forhindre forskere i at skelne Lu0bots fulde muligheder fuldstændigt. Truslen kunne have funktioner fra en bred vifte af malware-trusler - startende med en simpel læser til en infostealer, bagdør eller potent trojan med fjernadgang.