Lu0bot Malware
Pomimo wykrycia przez społeczność infosec w lutym 2021 r., osobliwy kawałek złośliwego oprogramowania nadal pozostaje zagadką o nieznanych możliwościach. Nazywane Lu0bot Malware, zagrożenie zaobserwowano w działaniu połączonym ze sprzedawcą obciążenia GCleaner (Garbage Cleaner). Zasadniczo GCleaner działa jako rodzaj pośrednika w krajobrazie cyberprzestępczości. Jest to jeden z wielu podmiotów, które atakują urządzenia, ale zamiast eskalować same ataki, oferują ustalony dostęp lub przywłaszczone dane uwierzytelniające użytkownika do sprzedaży innym grupom hakerów. Klienci mogą następnie wykorzystać uzyskany dostęp zgodnie ze swoimi nierozsądnymi potrzebami.
Wielowarstwowe techniki antyanalizy
Wiele zagrożeń złośliwym oprogramowaniem jest wyposażonych w środki zaradcze przeciwko analizie. Jednak złośliwe oprogramowanie Lu0bot wydaje się być na zupełnie innym poziomie. Badacz działający pod nazwą Fumik0_ próbował rzucić nieco światła na wewnętrzne działanie zagrożenia, publikując szczegółowy raport.
Początkowo złośliwe oprogramowanie Lu0bot pojawia się na docelowym urządzeniu jako bardzo mały ładunek C/C++ z pojedynczą opracowaną funkcją - do wykonania jednowierszowego kodu JavaScript za pośrednictwem WinExec(). Ostatecznym celem jest pobranie i zainicjowanie środowiska uruchomieniowego NodeJS. Po ustanowieniu serwera Node.js na złamanym urządzeniu, Lu0bot aktywuje złożony kod JavaScript, który na różne sposoby ukrywa główną funkcjonalność zagrożenia. Na przykład zagrożenie potrafi losowo przełączać się między protokołami UDP i TCP, jako wybrany kanał komunikacji z serwerem Command-and-Control (C2, C&C). Ponadto zagrożenie wykorzystuje szeroki zestaw algorytmów szyfrowania do szyfrowania różnych sekcji swojej bazy kodu - XOR, AES-128-CBC, Diffie-Hellmann i Blowfish.
Dynamiczna struktura wewnętrzna
Prawdopodobnie najbardziej imponującą cechą Lu0bota jest jego zdolność do dynamicznego dostosowywania przez aktora zagrożenia. Zagrożenie może odbierać klasy i zmienne w czasie rzeczywistym ze swojego serwera C2. Ta dynamiczna struktura uniemożliwia badaczom rozpoznanie głównej funkcjonalności, a tym samym celów aktora zagrożenia. Do tej pory ustalono, że Lu0bot jest niezwykle skuteczny w zbieraniu szczegółów systemu i informacji o zaatakowanych systemach. Jednak to zachowanie jest wspólne dla większości współczesnych zagrożeń ze strony złośliwego oprogramowania i nie zapewnia żadnego wglądu w cele konkretnego aktora zagrożenia. W rzeczywistości dynamiczna wewnętrzna struktura zagrożenia może uniemożliwić badaczom całkowite rozpoznanie pełnych możliwości Lu0bota. Zagrożenie może posiadać funkcje z szerokiej gamy zagrożeń złośliwym oprogramowaniem - począwszy od prostego programu ładującego, po złodzieja informacji, backdoora lub potężnego trojana zdalnego dostępu.
