Lu0bot 恶意软件

尽管早在 2021 年 2 月就被信息安全社区检测到，一种特殊的恶意软件仍然是一个未知功能的谜。该威胁被命名为 Lu0bot 恶意软件，在连接到 GCleaner（垃圾清理器）负载卖方的操作中被观察到。本质上，GCleaner 充当网络犯罪领域的中间人。它是危害设备的众多实体之一，但它们不会自行升级攻击，而是提供已建立的访问权限或盗用的用户凭据，以出售给其他黑客组织。然后，客户端可以根据他们恶意的需求利用获得的访问权限。

多层反分析技术

许多恶意软件威胁都配备了针对分析的对策。然而，Lu0bot 恶意软件似乎处于另一个层面。一位名为 Fumik0_ 的研究人员试图通过发布详细报告来阐明威胁的内部运作方式。

最初，Lu0bot 恶意软件以极小的 C/C++ 有效载荷的形式到达目标设备，其中包含一个开发功能 - 通过 WinExec() 执行一行 JavaScript 代码。最终目标是检索和启动 NodeJS 运行时。在被攻破的设备上建立 Node.js 服务器后，Lu0bot 会激活复杂的 JavaScript 代码，通过各种方式隐藏威胁的主要功能。例如，威胁能够在 UDP 和 TCP 协议之间随机切换，作为与命令和控制服务器（C2、C&C）的选定通信通道。此外，该威胁利用多种加密算法对其代码库的不同部分进行加密 - XOR、AES-128-CBC、Diffie-Hellmann 和 Blowfish。

动态内部结构

可以说，Lu0bot 最令人印象深刻的功能是它能够由威胁参与者动态调整。威胁可以从其 C2 服务器实时接收类和变量。这种动态结构阻止研究人员辨别主要功能，从而辨别威胁参与者的目标。到目前为止确定的是，Lu0bot 在收集系统详细信息和有关受感染系统的信息方面非常有效。但是，这种行为在大多数现代恶意软件威胁之间共享，并且无法提供对特定威胁参与者目标的任何洞察。事实上，威胁的动态内部结构可能会阻止研究人员完全识别 Lu0bot 的全部功能。该威胁可能具有从各种恶意软件威胁到信息窃取程序、后门程序或强大的远程访问特洛伊木马程序的各种恶意软件威胁的功能。