Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

Noktadan sonra alan adını seçin

Diğer birkaç işlemden sonra alan tamamen birleştirildi ve gerekli tüm öğeler bir JSON nesnesine paketlendi

Çözüm

Lu0bot, Node

Acc dizisinden öğelerin çıkarılması

Noktadan sonra alan segmentine rastgele bir sayı eklendi İçeriği tek tek araştırıldı exe –inspect-brk *çöp baytları olmadan obfuscate dökümü*) kullandı, “var” anahtar kelimesine bir kesme noktası yerleştirdi ve her satır tarafından oluşturulan çıktıyı gözlemledi dat dosyası

Bu sürücü, x64 sistemlerindeki 32 bit programların, anahtar tarama kodlarını, muhtemelen ana işlemde keylogging işlevi için kullanılan Unicode karakterlere dönüştürmesine izin verdi

2 js ile çalıştırılabilir JS kodunu birleştiren alışılmadık bir kötü amaçlı yazılımdır Sunucu trafiği aldıktan sonra JS kodunu gönderdi Node exe başlatıldı

  • JS kod yürütmesinin başladığı noktaya geldim
  • Kodu bellekte buldu ve bir dökümü kaydetti
  • Paketten çıkarma ve boşaltma işlemlerinin nasıl yürütüldüğünü görmek için orijinal makaleye bakın

    Kod dönüşümünün sonucu

    Kod, bir dizi şifrelenmiş dizeyle başladı ANY js kötü amaçlı yazılımı Lu0Bot bu eğilimin bir kanıtıdır

    Bu işlev iki değişken kullanılarak çağrıldı:

    1 js dosyasını toplamak için bir komut çalıştırdım

  • Gelen verileri komut satırına girerek x32dbg’de fjlpexyjauf

    Daha sonra EXE dosyası, fjlpexyjauf

    Ekibinizle birlikte özel modda çalışın RUN’a dahil edilerek hizmetin herhangi bir Lu0Bot örneğini hızlı bir şekilde tanımlamasına ve dizelerin şifresini çözdükten sonra C2 alanlarını ortaya çıkarmasına olanak sağlandı RUN’da Lu0Bot’un dinamik kötü amaçlı yazılım analizi

    Bir sonraki adım, EXE dosyasının ve lknidtnqmg HERHANGİ BİR ÇALIŞMA şüpheli dosyaları veya bağlantıları hızlı bir şekilde analiz etmek ve saniyeler içinde kesin bir karara varmak için js’yi inspect-brk parametresiyle (node Bir sonraki satır, belirli koşulların karşılanması durumunda alternatif bir alan seçti

    Modern web uygulamalarında yaygın olan, platformdan bağımsız bir çalışma ortamı ortamını hedef alan ve çok katmanlı gizlemeyi kullanan Lu0Bot, kuruluşlar ve bireyler için ciddi bir tehdittir dat dosyasının içeriği 4

    Şu anda düşük düzeyde bir etkinlik sergilemesine rağmen Lu0bot, kampanyasının ölçeklenmesi ve C2 sunucusunun aktif olarak yanıt vermeye başlaması durumunda önemli bir risk oluşturabilir Dizideki bir öğe dat dosyasının araştırılmasını içeriyordu dat dosyaları

    Dosya bayt bloklarına bölündü ve bunlar daha sonra Düğüm yorumlayıcısını oluşturmak için birleştirildi RUN etkileşimli kötü amaçlı yazılım Davranışlarını izlemek ve baytların şifresini çözmek veya şifresi çözülmüş halde bunları işlem belleğinde bulmak için sanal alan lknidtnqmg Daha ileri analizler, bu çıktının toplanan sistem verilerinin bir karması olduğunu ortaya çıkardı

    Gelecekteki herhangi bir senaryoya hazırlıklı olmak için bir analist ekibi, Lu0Bot’un son örneklerinden birinin derinlemesine bir teknik analizini gerçekleştirdi ve bir makale yayınladı süreçlerini belgeliyorlar

    Etki alanı inşaatı
    JavaScript kodunda hata ayıklama

    Hata ayıklamak için ekip, Node gyvdcniwvlu Daha sonra belirli öğeler manipülasyon yoluyla dizinin sonuna taşındı

    Ücretsiz denemeyi başlatın Bir sökücü ve hata ayıklayıcı kullanarak Lu0Bot kötü amaçlı yazılımının teknik analizi

    Ana JS koduna erişmek için ekip: