Lu0bot मैलवेयर
फरवरी 2021 में इन्फोसेक समुदाय द्वारा खोजे जाने के बावजूद, दुर्भावनापूर्ण सॉफ़्टवेयर का एक अजीबोगरीब टुकड़ा अज्ञात क्षमताओं के साथ एक पहेली बना हुआ है। Lu0bot मैलवेयर नामित, GCleaner (कचरा क्लीनर) लोड विक्रेता से जुड़े ऑपरेशन में खतरा देखा गया था। संक्षेप में, GCleaner साइबर अपराध परिदृश्य में एक प्रकार के मध्यम व्यक्ति के रूप में कार्य करता है। यह कई संस्थाओं में से एक है जो उपकरणों से समझौता करती है, लेकिन, हमलों को स्वयं बढ़ाने के बजाय, वे अन्य हैकर समूहों को बिक्री के लिए स्थापित पहुंच या गलत उपयोगकर्ता प्रमाण-पत्र प्रदान करते हैं। ग्राहक तब अपनी खराब दिमागी जरूरतों के अनुसार अधिग्रहीत पहुंच का फायदा उठा सकते हैं।
बहु-स्तरित एंटी-विश्लेषण तकनीक
कई मैलवेयर खतरे विश्लेषण के खिलाफ प्रतिवाद से लैस हैं। हालाँकि, Lu0bot मैलवेयर दूसरे स्तर पर प्रतीत होता है। Fumik0_ नाम से काम कर रहे एक शोधकर्ता ने एक विस्तृत रिपोर्ट जारी करके खतरे के आंतरिक कामकाज पर कुछ प्रकाश डालने का प्रयास किया है।
प्रारंभ में, Lu0bot मैलवेयर लक्षित डिवाइस पर एक अत्यंत छोटे C/C++ पेलोड के रूप में एक विकसित फ़ंक्शन के साथ आता है - WinExec() के माध्यम से एक-पंक्ति जावास्क्रिप्ट कोड निष्पादित करने के लिए। अंतिम लक्ष्य NodeJS रनटाइम को पुनः प्राप्त करना और आरंभ करना है। क्षतिग्रस्त डिवाइस पर Node.js सर्वर स्थापित करने के बाद, Lu0bot एक जटिल जावास्क्रिप्ट कोड को सक्रिय करता है जो विभिन्न माध्यमों से खतरे की मुख्य कार्यक्षमता को छुपाता है। उदाहरण के लिए, खतरा यूडीपी और टीसीपी प्रोटोकॉल के बीच यादृच्छिक रूप से स्विच करने में सक्षम है, क्योंकि कमांड-एंड-कंट्रोल सर्वर (सी 2, सी एंड सी) के साथ चुने गए संचार चैनल। इसके अलावा, खतरा अपने कोडबेस के विभिन्न वर्गों - XOR, AES-128-CBC, Diffie-Hellmann और Blowfish को एन्क्रिप्ट करने के लिए एन्क्रिप्शन एल्गोरिदम के एक विस्तृत सेट का उपयोग करता है।
गतिशील आंतरिक संरचना
यकीनन, Lu0bot की सबसे प्रभावशाली विशेषता खतरे वाले अभिनेता द्वारा गतिशील रूप से समायोजित होने की क्षमता है। खतरा अपने C2 सर्वर से वास्तविक समय में कक्षाएं और चर प्राप्त कर सकता है। यह गतिशील संरचना शोधकर्ताओं को मुख्य कार्यक्षमता और इस प्रकार खतरे वाले अभिनेता के लक्ष्यों को समझने से रोकती है। अब तक जो निर्धारित किया गया है वह यह है कि सिस्टम विवरण और समझौता किए गए सिस्टम के बारे में जानकारी एकत्र करने में Lu0bot बेहद प्रभावी है। हालांकि, यह व्यवहार अधिकांश आधुनिक मैलवेयर खतरों के बीच साझा किया जाता है और विशेष खतरे वाले अभिनेता के लक्ष्यों में कोई अंतर्दृष्टि प्रदान करने में विफल रहता है। वास्तव में, खतरे की गतिशील आंतरिक संरचना शोधकर्ताओं को Lu0bot की पूर्ण क्षमताओं को पूरी तरह से समझने से रोक सकती है। खतरे में मैलवेयर खतरों की एक विस्तृत श्रृंखला से कार्य हो सकते हैं - एक साधारण लोडर से शुरू होकर, एक इन्फोस्टीलर, पिछले दरवाजे या शक्तिशाली रिमोट एक्सेस ट्रोजन तक।
