Lu0bot 惡意軟件

儘管早在 2021 年 2 月就被信息安全社區檢測到，一種特殊的惡意軟件仍然是一個未知功能的謎。該威脅被命名為 Lu0bot 惡意軟件，在連接到 GCleaner（垃圾清理器）負載賣方的操作中被觀察到。本質上，GCleaner 充當網絡犯罪領域的中間人。它是危害設備的眾多實體之一，但它們不會自行升級攻擊，而是提供已建立的訪問權限或盜用的用戶憑據，以出售給其他黑客組織。然後，客戶端可以根據他們惡意的需求利用獲得的訪問權限。

多層反分析技術

許多惡意軟件威脅都配備了針對分析的對策。然而，Lu0bot 惡意軟件似乎處於另一個層面。一位名為 Fumik0_ 的研究人員試圖通過發布詳細報告來闡明威脅的內部運作方式。

最初，Lu0bot 惡意軟件作為極小的 C/C++ 有效負載到達目標設備，並帶有單個開發功能 - 通過 WinExec() 執行一行 JavaScript 代碼。最終目標是檢索和啟動 NodeJS 運行時。在被攻破的設備上建立 Node.js 服務器後，Lu0bot 會激活複雜的 JavaScript 代碼，通過各種方式隱藏威脅的主要功能。例如，威脅能夠在 UDP 和 TCP 協議之間隨機切換，作為與命令和控制服務器（C2、C&C）的選定通信通道。此外，該威脅利用多種加密算法對其代碼庫的不同部分進行加密 - XOR、AES-128-CBC、Diffie-Hellmann 和 Blowfish。

動態內部結構

可以說，Lu0bot 最令人印象深刻的功能是它能夠由威脅參與者動態調整。威脅可以從其 C2 服務器實時接收類和變量。這種動態結構阻止研究人員辨別主要功能，從而辨別威脅參與者的目標。到目前為止確定的是，Lu0bot 在收集系統詳細信息和有關受感染系統的信息方面非常有效。但是，這種行為在大多數現代惡意軟件威脅之間共享，並且無法提供對特定威脅參與者目標的任何洞察。事實上，威脅的動態內部結構可能會阻止研究人員完全識別 Lu0bot 的全部功能。該威脅可能具有從各種惡意軟件威脅到信息竊取程序、後門程序或強大的遠程訪問特洛伊木馬程序的各種惡意軟件威脅的功能。