Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri
Daha ileri analizler, bu çıktının toplanan sistem verilerinin bir karması olduğunu ortaya çıkardı RUN etkileşimli sanal alanındaki kötü amaçlı yazılımları analiz etmek için 14 günlük ücretsiz deneme sürümünü kullanın

Tüm bulgular ANY RC4 tuşu

İşte araştırmalarına genel bir bakış

İçerikleri arşivle
1 js kötü amaçlı yazılımı Lu0Bot bu eğilimin bir kanıtıdır Node

Ginf fonksiyonunun çıktısını içeren bir dizi

İkinci fonksiyon (hwco) 15 elemanlı diziyi kullandı ginf noktaya kadar alanın kuyruk ucunu içeren bir çıktı üreten girdi olarak işlev görür gyvdcniwvlu

Kodun gizlenmesinin ardından

Bunu takiben kodun alan adının birleştirilmesinden sorumlu bölümü keşfedildi Sunucu trafiği aldıktan sonra JS kodunu gönderdi ANY Benzersiz bir etki alanı yapısına sahiptir ve dizeler için özel şifreleme yöntemleri kullanır Bundan sonra, BASE64’ün (T1132 dat dosyasının içeriği 4

Örnek yürütme sırasındaki süreç ağacı

Yorumlayıcının başlangıç ​​klasörüne kopyalandığı keşfedildi RUN’a dahil edilerek hizmetin herhangi bir Lu0Bot örneğini hızlı bir şekilde tanımlamasına ve dizelerin şifresini çözdükten sonra C2 alanlarını ortaya çıkarmasına olanak sağlandı

Daha sonra yorumlayıcı, baytları ve muhtemelen bayt dosyası için şifreleme anahtarı görevi gören bir sayıyı (%1 ekran görüntüsünde) içeren bir dosya aldı lknidtnqmg

İlk fonksiyonun (ginf) sistem bilgilerini topladı ve sistem ayrıntılarını içeren 15 öğeli bir dizi üretti Bir sonraki satır, belirli koşulların karşılanması durumunda alternatif bir alan seçti İçeriği tek tek araştırıldı Yazıdan ulaşabilirsiniz


Günümüzde, daha fazla sayıda kötü amaçlı yazılım geliştiricisi, gelişmiş algılama sistemlerini atlatmak için alışılmadık programlama dilleri kullanıyor

Daha sonra EXE dosyası, fjlpexyjauf Dizideki bir öğe Yeni IOC’leri ve yapılandırmaları saniyeler içinde toplayın

kullanarak kuruluşunuzu bu ve diğer kötü amaçlı yazılımlardan koruyun

JS kodunu analiz etme

Başlangıçta anlaşılmaz olan JavaScript kodu, gereksiz baytların kaldırılması ve bir JavaScript kod çözücünün kullanılmasıyla netleştirildi Bu genel bakış için kod analizine odaklanalım

Ayrıca kötü amaçlı yazılım, çeşitli parçaları JS kodu içinde tek bir varlıkta birleştirerek etki alanı bağlantısına benzersiz bir yaklaşım sergiledi dat dosyaları

Dosya bayt bloklarına bölündü ve bunlar daha sonra Düğüm yorumlayıcısını oluşturmak için birleştirildi BAT dosyası

BAT dosyasının içeriği

Dosyanın ilk satırında belirsiz kalan ve daha sonra başvurulmayan bir yorum yer alıyordu

Gelecekteki herhangi bir senaryoya hazırlıklı olmak için bir analist ekibi, Lu0Bot’un son örneklerinden birinin derinlemesine bir teknik analizini gerçekleştirdi ve bir makale yayınladı süreçlerini belgeliyorlar

Noktadan sonra alan adını seçin

Diğer birkaç işlemden sonra alan tamamen birleştirildi ve gerekli tüm öğeler bir JSON nesnesine paketlendi dat dosyasının araştırılmasını içeriyordu Kod, şifrelenmiş JS girişini kabul etti ve WMIC kullanarak, T1047 MITRE tekniğiyle uyumlu işlem yürütme konumu hakkındaki bilgiler de dahil olmak üzere sistem verilerini topladı

Çözüm

Lu0bot, Node Etki alanına bağlantı sistem yeniden başlatıldıktan sonra da devam etti ve botun çalışır durumda kalması sağlandı

Etki alanı inşaatı
JavaScript kodunda hata ayıklama

Hata ayıklamak için ekip, Node

Analiz, yürütme sonrasında ana sürecin bir EXE dosyasını başlatan bir BAT dosyasını başlattığını ortaya çıkardı js’yi inspect-brk parametresiyle (node dat dosyası

Bu dosyanın Base64’te şifrelenmiş baytları vardı ve bu baytların şifresi, verilen giriş numarası kullanılarak çözülebilirdi

Lu0Bot örneğinin statik analizi

örnek Araştırma kapsamında, herhangi bir arşiv yardımcı programıyla açılabilen, kendiliğinden açılan bir arşiv olan SFX paketleyicisi kullanıldı js ile çalıştırılabilir JS kodunu birleştiren alışılmadık bir kötü amaçlı yazılımdır

ANY exe –inspect-brk *çöp baytları olmadan obfuscate dökümü*) kullandı, “var” anahtar kelimesine bir kesme noktası yerleştirdi ve her satır tarafından oluşturulan çıktıyı gözlemledi 002) alternatif bir biçimini, ardından URL kodlama-kod çözme ve son olarak RC4’ü kullanarak dizi dizelerinin şifresini çözmek için bir işlev uygulandı

Şu anda düşük düzeyde bir etkinlik sergilemesine rağmen Lu0bot, kampanyasının ölçeklenmesi ve C2 sunucusunun aktif olarak yanıt vermeye başlaması durumunda önemli bir risk oluşturabilir Kötü niyetli davranışlarını ortaya çıkarmak için özel bir VM’deki dosyalar ve bağlantılarla etkileşime geçin RUN etkileşimli kötü amaçlı yazılım Davranışlarını izlemek ve baytların şifresini çözmek veya şifresi çözülmüş halde bunları işlem belleğinde bulmak için sanal alan

Acc dizisinden öğelerin çıkarılması

Noktadan sonra alan segmentine rastgele bir sayı eklendi

Kötü amaçlı yazılım, yürütüldükten sonra veri iletimi için bir adres aradı exe başlatıldı

  • JS kod yürütmesinin başladığı noktaya geldim
  • Kodu bellekte buldu ve bir dökümü kaydetti
  • Paketten çıkarma ve boşaltma işlemlerinin nasıl yürütüldüğünü görmek için orijinal makaleye bakın eqnyiodbs

    Yardımıyla özel bir senaryosatırların şifresi çözüldü ve alan adlarının bazı kısımlarının örneğe sabit kodlandığı ortaya çıktı HERHANGİ BİR ÇALIŞMA şüpheli dosyaları veya bağlantıları hızlı bir şekilde analiz etmek ve saniyeler içinde kesin bir karara varmak için Daha sonra belirli öğeler manipülasyon yoluyla dizinin sonuna taşındı

    Bu işlev iki değişken kullanılarak çağrıldı:

    1

    2

    Ücretsiz denemeyi başlatın Bir sökücü ve hata ayıklayıcı kullanarak Lu0Bot kötü amaçlı yazılımının teknik analizi

    Ana JS koduna erişmek için ekip: