Lu0bot Kötü Amaçlı Yazılım
Infosec topluluğu tarafından Şubat 2021'de tespit edilmesine rağmen, tuhaf bir kötü amaçlı yazılım parçası, bilinmeyen yeteneklere sahip bir muamma olarak kalmaya devam etti. Lu0bot Kötü Amaçlı Yazılım olarak adlandırılan tehdit, GCleaner (Çöp Temizleyici) yük satıcısına bağlı operasyonda gözlendi. Özünde, GCleaner siber suç ortamında bir tür aracı görevi görür. Cihazları tehlikeye atan sayısız varlıktan biridir, ancak saldırıları kendileri artırmak yerine, diğer hacker gruplarına satmak için yerleşik erişimi veya yanlış tahsis edilmiş kullanıcı kimlik bilgilerini sunarlar. Müşteriler daha sonra edinilen erişimden kötü niyetli ihtiyaçlarına göre yararlanabilir.
Çok Katmanlı Anti-Analiz Teknikleri
Birçok kötü amaçlı yazılım tehdidi, analize karşı önlemlerle donatılmıştır. Ancak, Lu0bot Kötü Amaçlı Yazılımı tamamen başka bir seviyede görünüyor. Fumik0_ adı altında faaliyet gösteren bir araştırmacı, ayrıntılı bir rapor yayınlayarak tehdidin iç işleyişine biraz ışık tutmaya çalıştı.
Başlangıçta, Lu0bot Kötü Amaçlı Yazılımı, WinExec() aracılığıyla tek satırlık bir JavaScript kodunu yürütmek için tek bir geliştirilmiş işlevle son derece küçük bir C/C++ yükü olarak hedeflenen cihaza gelir. Nihai hedef, bir NodeJS çalışma zamanını almak ve başlatmaktır. Node.js sunucusunu ihlal edilen cihaza kurduktan sonra Lu0bot, çeşitli yollarla tehdidin ana işlevini gizleyen karmaşık bir JavaScript kodunu etkinleştirir. Örneğin, tehdit, Komuta ve Kontrol sunucusu (C2, C&C) ile seçilen iletişim kanalı olarak UDP ve TCP protokolleri arasında rastgele geçiş yapabilir. Ayrıca tehdit, kod tabanının XOR, AES-128-CBC, Diffie-Hellmann ve Blowfish gibi farklı bölümlerini şifrelemek için geniş bir şifreleme algoritmaları seti kullanır.
Dinamik İç Yapı
Lu0bot'un tartışmasız en etkileyici özelliği, tehdit aktörü tarafından dinamik olarak ayarlanabilmesidir. Tehdit, C2 sunucusundan gerçek zamanlı olarak sınıfları ve değişkenleri alabilir. Bu dinamik yapı, araştırmacıların ana işlevselliği ve dolayısıyla tehdit aktörünün hedeflerini ayırt etmelerini engeller. Şimdiye kadar tespit edilen şey, Lu0bot'un sistem ayrıntılarını ve güvenliği ihlal edilen sistemler hakkında bilgi toplamada son derece etkili olduğudur. Ancak bu davranış, modern kötü amaçlı yazılım tehditlerinin çoğu arasında paylaşılır ve belirli bir tehdit aktörünün hedeflerine ilişkin herhangi bir fikir sağlamaz. Aslında, tehdidin dinamik iç yapısı, araştırmacıların Lu0bot'un tüm yeteneklerini tamamen fark etmelerini engelleyebilir. Tehdit, basit bir yükleyiciden başlayarak bir bilgi hırsızına, arka kapıya veya güçlü uzaktan erişim Truva Atı'na kadar çok çeşitli kötü amaçlı yazılım tehditlerinden işlevlere sahip olabilir.
