Lu0botマルウェア

2021年2月にinfosecコミュニティによって検出されたにもかかわらず、悪意のあるソフトウェアの特異な部分は、未知の機能を備えた謎のままです。 Lu0botマルウェアと名付けられたこの脅威は、GCleaner（Garbage Cleaner）ロードセラーに接続された操作で観察されました。本質的に、GCleanerは、サイバー犯罪の状況において一種の仲介者として機能します。これは、デバイスを危険にさらす多数のエンティティの1つですが、攻撃自体をエスカレートする代わりに、確立されたアクセスまたは悪用されたユーザー資格情報を他のハッカーグループに販売するために提供します。クライアントは、悪意のあるニーズに応じて、取得したアクセスを悪用できます。

多層分析防止技術

多くのマルウェアの脅威には、分析に対する対策が備わっています。ただし、Lu0botマルウェアはまったく別のレベルにあるようです。 Fumik0_という名前で活動している研究者は、詳細なレポートを公開することにより、脅威の内部の仕組みに光を当てようとしました。

最初に、Lu0botマルウェアは、WinExec（）を介して1行のJavaScriptコードを実行するために、単一の開発された関数を備えた非常に小さなC / C ++ペイロードとしてターゲットデバイスに到着します。最終的な目標は、NodeJSランタイムを取得して開始することです。侵害されたデバイス上にNode.jsサーバーを確立した後、Lu0botは、さまざまな手段を通じて脅威の主な機能を隠す複雑なJavaScriptコードをアクティブ化します。たとえば、脅威は、コマンドアンドコントロールサーバー（C2、C＆C）との選択された通信チャネルとして、UDPプロトコルとTCPプロトコルをランダムに切り替えることができます。さらに、この脅威は、コードベースのさまざまなセクション（XOR、AES-128-CBC、Diffie-Hellmann、Blowfish）を暗号化するために、さまざまな暗号化アルゴリズムを利用しています。

動的内部構造

間違いなく、Lu0botの最も印象的な機能は、脅威アクターによって動的に調整される機能です。脅威は、C2サーバーからリアルタイムでクラスと変数を受け取ることができます。この動的な構造により、研究者は主な機能、つまり脅威アクターの目標を識別できなくなります。これまでに決定されたのは、Lu0botがシステムの詳細と侵害されたシステムに関する情報を収集するのに非常に効果的であるということです。ただし、この動作は最新のマルウェア脅威のほとんどで共有されており、特定の脅威アクターの目標に対する洞察を提供することはできません。実際、脅威の動的な内部構造により、研究者はLu0botの全機能を完全に見分けることができなくなる可能性があります。この脅威は、単純なローダーから始まり、情報スティーラー、バックドア、または強力なリモートアクセス型トロイの木馬まで、さまざまなマルウェアの脅威から機能を備えている可能性があります。