Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

Ayrıca kötü amaçlı yazılım, çeşitli parçaları JS kodu içinde tek bir varlıkta birleştirerek etki alanı bağlantısına benzersiz bir yaklaşım sergiledi

Analiz, yürütme sonrasında ana sürecin bir EXE dosyasını başlatan bir BAT dosyasını başlattığını ortaya çıkardı

İşte araştırmalarına genel bir bakış

Kodun gizlenmesinin ardından

Bunu takiben kodun alan adının birleştirilmesinden sorumlu bölümü keşfedildi RUN etkileşimli sanal alanındaki kötü amaçlı yazılımları analiz etmek için 14 günlük ücretsiz deneme sürümünü kullanın

JS kodunu analiz etme

Başlangıçta anlaşılmaz olan JavaScript kodu, gereksiz baytların kaldırılması ve bir JavaScript kod çözücünün kullanılmasıyla netleştirildi

Daha sonra EXE dosyası, fjlpexyjauf js ile çalıştırılabilir JS kodunu birleştiren alışılmadık bir kötü amaçlı yazılımdır js’yi inspect-brk parametresiyle (node Yeni IOC’leri ve yapılandırmaları saniyeler içinde toplayın Kötü niyetli davranışlarını ortaya çıkarmak için özel bir VM’deki dosyalar ve bağlantılarla etkileşime geçin

Daha sonra yorumlayıcı, baytları ve muhtemelen bayt dosyası için şifreleme anahtarı görevi gören bir sayıyı (%1 ekran görüntüsünde) içeren bir dosya aldı RUN’da Lu0Bot’un dinamik kötü amaçlı yazılım analizi

Bir sonraki adım, EXE dosyasının ve lknidtnqmg İçeriği tek tek araştırıldı lknidtnqmg Node



siber-2

dat dosyasının içeriği 4 RUN etkileşimli kötü amaçlı yazılım Davranışlarını izlemek ve baytların şifresini çözmek veya şifresi çözülmüş halde bunları işlem belleğinde bulmak için sanal alan Yazıdan ulaşabilirsiniz Daha sonra belirli öğeler manipülasyon yoluyla dizinin sonuna taşındı exe –inspect-brk *çöp baytları olmadan obfuscate dökümü*) kullandı, “var” anahtar kelimesine bir kesme noktası yerleştirdi ve her satır tarafından oluşturulan çıktıyı gözlemledi

hwco işlevinden dize çıktısı

Noktadan sonraki bağlantı noktası, sayı ve etki alanı segmenti acc dizisinden çıkarıldı ve ardından değişkenlere atandı

lknidtnqmg

Tüm bulgular ANY Dizideki bir öğe Etki alanına bağlantı sistem yeniden başlatıldıktan sonra da devam etti ve botun çalışır durumda kalması sağlandı

Gelecekteki herhangi bir senaryoya hazırlıklı olmak için bir analist ekibi, Lu0Bot’un son örneklerinden birinin derinlemesine bir teknik analizini gerçekleştirdi ve bir makale yayınladı süreçlerini belgeliyorlar

Şu anda kötü amaçlı yazılımın etkinliği düşük olmasına rağmen, saldırganlar muhtemelen saldırmak için doğru anı bekliyor exe adlı bir Node yorumlayıcısı da dahil olmak üzere birden fazla dosyayı paketledi RUN’a dahil edilerek hizmetin herhangi bir Lu0Bot örneğini hızlı bir şekilde tanımlamasına ve dizelerin şifresini çözdükten sonra C2 alanlarını ortaya çıkarmasına olanak sağlandı ANY

Etki alanı inşaatı
JavaScript kodunda hata ayıklama

Hata ayıklamak için ekip, Node

2

Modern web uygulamalarında yaygın olan, platformdan bağımsız bir çalışma ortamı ortamını hedef alan ve çok katmanlı gizlemeyi kullanan Lu0Bot, kuruluşlar ve bireyler için ciddi bir tehdittir Kod, şifrelenmiş JS girişini kabul etti ve WMIC kullanarak, T1047 MITRE tekniğiyle uyumlu işlem yürütme konumu hakkındaki bilgiler de dahil olmak üzere sistem verilerini topladı

kullanarak kuruluşunuzu bu ve diğer kötü amaçlı yazılımlardan koruyun

DNS istekleri
Kötü Amaçlı Yazılım Analizi

ANY exe başlatıldı

  • JS kod yürütmesinin başladığı noktaya geldim
  • Kodu bellekte buldu ve bir dökümü kaydetti
  • Paketten çıkarma ve boşaltma işlemlerinin nasıl yürütüldüğünü görmek için orijinal makaleye bakın Bu genel bakış için kod analizine odaklanalım Bundan sonra, BASE64’ün (T1132 gyvdcniwvlu

    Ücretsiz denemeyi başlatın Bir sökücü ve hata ayıklayıcı kullanarak Lu0Bot kötü amaçlı yazılımının teknik analizi

    Ana JS koduna erişmek için ekip: