Lu0bot 악성 코드

2021 년 2 월에 infosec 커뮤니티에 의해 탐지 되었음에도 불구하고 특이한 악성 소프트웨어는 알려지지 않은 기능을 가진 수수께끼로 계속 남아 있습니다. Lu0bot Malware라는 이름의 위협은 GCleaner (Garbage Cleaner)로드 판매자와 연결된 작업에서 관찰되었습니다. 본질적으로 GCleaner는 사이버 범죄 환경에서 일종의 중개자 역할을합니다. 장치를 손상시키는 수많은 엔터티 중 하나이지만 공격 자체를 확대하는 대신 다른 해커 그룹에 판매 할 수 있도록 설정된 액세스 또는 도용 된 사용자 자격 증명을 제공합니다. 그런 다음 클라이언트는 악의적 인 요구에 따라 획득 한 액세스를 악용 할 수 있습니다.

다층 분석 방지 기법

많은 악성 코드 위협에는 분석에 대한 대응책이 있습니다. 그러나 Lu0bot 맬웨어는 완전히 다른 수준에있는 것으로 보입니다. Fumik0_이라는 이름으로 활동하는 연구원은 자세한 보고서를 공개하여 위협의 내부 작동에 대해 약간의 빛을 비추려고 시도했습니다.

처음에 Lu0bot 악성 코드는 WinExec ()을 통해 한 줄 JavaScript 코드를 실행하기 위해 개발 된 단일 함수를 포함하는 매우 작은 C / C ++ 페이로드로 대상 장치에 도착합니다. 최종 목표는 NodeJS 런타임을 검색하고 시작하는 것입니다. 침해 된 장치에 Node.js 서버를 구축 한 후 Lu0bot은 다양한 수단을 통해 위협의 주요 기능을 숨기는 복잡한 JavaScript 코드를 활성화합니다. 예를 들어, 위협은 명령 및 제어 서버 (C2, C & C)와 선택한 통신 채널로 UDP와 TCP 프로토콜 사이를 임의로 전환 할 수 있습니다. 또한이 위협은 XOR, AES-128-CBC, Diffie-Hellmann 및 Blowfish와 같은 코드베이스의 다른 섹션을 암호화하기 위해 광범위한 암호화 알고리즘 세트를 사용합니다.

동적 내부 구조

틀림없이 Lu0bot의 가장 인상적인 기능은 위협 행위자가 동적으로 조정할 수 있다는 것입니다. 위협은 C2 서버에서 실시간으로 클래스와 변수를 수신 할 수 있습니다. 이 동적 구조는 연구원이 주요 기능과 위협 행위자의 목표를 식별하지 못하게합니다. 지금까지 결정된 것은 Lu0bot이 손상된 시스템에 대한 시스템 세부 정보 및 정보를 수집하는 데 매우 효과적이라는 것입니다. 그러나이 동작은 대부분의 최신 맬웨어 위협간에 공유되며 특정 위협 행위자의 목표에 대한 통찰력을 제공하지 못합니다. 실제로 위협의 동적 내부 구조는 연구원이 Lu0bot의 전체 기능을 완전히 식별하지 못하게 할 수 있습니다. 이 위협은 단순한 로더에서 시작하여 인포 스틸러, 백도어 또는 강력한 원격 액세스 트로이 목마에 이르기까지 광범위한 맬웨어 위협에서 기능을 가질 수 있습니다.