Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

Lu0bot tespiti

Ekip, çabalarının bir parçası olarak çok sayıda istihbarat ve IOC’yi ortaya çıkarmanın yanı sıra YARA, Sigma ve Suricata kurallarını da yazmayı başardı

lknidtnqmg

Tüm bulgular ANY Etki alanına bağlantı sistem yeniden başlatıldıktan sonra da devam etti ve botun çalışır durumda kalması sağlandı exe başlatıldı

  • JS kod yürütmesinin başladığı noktaya geldim
  • Kodu bellekte buldu ve bir dökümü kaydetti
  • Paketten çıkarma ve boşaltma işlemlerinin nasıl yürütüldüğünü görmek için orijinal makaleye bakın BAT dosyası

    BAT dosyasının içeriği

    Dosyanın ilk satırında belirsiz kalan ve daha sonra başvurulmayan bir yorum yer alıyordu Yeni IOC’leri ve yapılandırmaları saniyeler içinde toplayın lknidtnqmg

    Ginf fonksiyonunun çıktısını içeren bir dizi

    İkinci fonksiyon (hwco) 15 elemanlı diziyi kullandı ginf noktaya kadar alanın kuyruk ucunu içeren bir çıktı üreten girdi olarak işlev görür Benzersiz bir etki alanı yapısına sahiptir ve dizeler için özel şifreleme yöntemleri kullanır exe adlı bir Node yorumlayıcısı da dahil olmak üzere birden fazla dosyayı paketledi Bundan sonra, BASE64’ün (T1132 Kötü niyetli davranışlarını ortaya çıkarmak için özel bir VM’deki dosyalar ve bağlantılarla etkileşime geçin RUN etkileşimli sanal alanındaki kötü amaçlı yazılımları analiz etmek için 14 günlük ücretsiz deneme sürümünü kullanın

    Etki alanı inşaatı
    JavaScript kodunda hata ayıklama

    Hata ayıklamak için ekip, Node

    JS kodunu analiz etme

    Başlangıçta anlaşılmaz olan JavaScript kodu, gereksiz baytların kaldırılması ve bir JavaScript kod çözücünün kullanılmasıyla netleştirildi

    İşte araştırmalarına genel bir bakış

    Noktadan sonra alan adını seçin

    Diğer birkaç işlemden sonra alan tamamen birleştirildi ve gerekli tüm öğeler bir JSON nesnesine paketlendi eqnyiodbs dat dosyasının araştırılmasını içeriyordu

    Şu anda düşük düzeyde bir etkinlik sergilemesine rağmen Lu0bot, kampanyasının ölçeklenmesi ve C2 sunucusunun aktif olarak yanıt vermeye başlaması durumunda önemli bir risk oluşturabilir

    Lu0Bot örneğinin statik analizi

    örnek Araştırma kapsamında, herhangi bir arşiv yardımcı programıyla açılabilen, kendiliğinden açılan bir arşiv olan SFX paketleyicisi kullanıldı

    Daha sonra yorumlayıcı, baytları ve muhtemelen bayt dosyası için şifreleme anahtarı görevi gören bir sayıyı (%1 ekran görüntüsünde) içeren bir dosya aldı

    Ayrıca kötü amaçlı yazılım, çeşitli parçaları JS kodu içinde tek bir varlıkta birleştirerek etki alanı bağlantısına benzersiz bir yaklaşım sergiledi dat dosyasının içeriği

    4 exe –inspect-brk *çöp baytları olmadan obfuscate dökümü*) kullandı, “var” anahtar kelimesine bir kesme noktası yerleştirdi ve her satır tarafından oluşturulan çıktıyı gözlemledi

    DNS istekleri
    Kötü Amaçlı Yazılım Analizi

    ANY

    2

    Şu anda kötü amaçlı yazılımın etkinliği düşük olmasına rağmen, saldırganlar muhtemelen saldırmak için doğru anı bekliyor

    Ücretsiz denemeyi başlatın Bir sökücü ve hata ayıklayıcı kullanarak Lu0Bot kötü amaçlı yazılımının teknik analizi

    Ana JS koduna erişmek için ekip:

    • SFX arşivini paketinden çıkardık
    • Node Bir sonraki satır, belirli koşulların karşılanması durumunda alternatif bir alan seçti

      Ekibinizle birlikte özel modda çalışın 002) alternatif bir biçimini, ardından URL kodlama-kod çözme ve son olarak RC4’ü kullanarak dizi dizelerinin şifresini çözmek için bir işlev uygulandı Daha sonra belirli öğeler manipülasyon yoluyla dizinin sonuna taşındı HERHANGİ BİR ÇALIŞMA şüpheli dosyaları veya bağlantıları hızlı bir şekilde analiz etmek ve saniyeler içinde kesin bir karara varmak için

      2 dat dosyası

      Bu sürücü, x64 sistemlerindeki 32 bit programların, anahtar tarama kodlarını, muhtemelen ana işlemde keylogging işlevi için kullanılan Unicode karakterlere dönüştürmesine izin verdi Dizideki bir öğe Kod, şifrelenmiş JS girişini kabul etti ve WMIC kullanarak, T1047 MITRE tekniğiyle uyumlu işlem yürütme konumu hakkındaki bilgiler de dahil olmak üzere sistem verilerini topladı Yazıdan ulaşabilirsiniz RUN etkileşimli kötü amaçlı yazılım Davranışlarını izlemek ve baytların şifresini çözmek veya şifresi çözülmüş halde bunları işlem belleğinde bulmak için sanal alan Sunucu trafiği aldıktan sonra JS kodunu gönderdi js ile çalıştırılabilir JS kodunu birleştiren alışılmadık bir kötü amaçlı yazılımdır

      Analiz, yürütme sonrasında ana sürecin bir EXE dosyasını başlatan bir BAT dosyasını başlattığını ortaya çıkardı js dosyasını toplamak için bir komut çalıştırdım

    • Gelen verileri komut satırına girerek x32dbg’de fjlpexyjauf İçeriği tek tek araştırıldı

      ANY


      Günümüzde, daha fazla sayıda kötü amaçlı yazılım geliştiricisi, gelişmiş algılama sistemlerini atlatmak için alışılmadık programlama dilleri kullanıyor Node dat dosyaları

      Dosya bayt bloklarına bölündü ve bunlar daha sonra Düğüm yorumlayıcısını oluşturmak için birleştirildi Daha ileri analizler, bu çıktının toplanan sistem verilerinin bir karması olduğunu ortaya çıkardı RUN’da Lu0Bot’un dinamik kötü amaçlı yazılım analizi

      Bir sonraki adım, EXE dosyasının ve lknidtnqmg

      Acc dizisinden öğelerin çıkarılması

      Noktadan sonra alan segmentine rastgele bir sayı eklendi

      Çözüm

      Lu0bot, Node js’yi inspect-brk parametresiyle (node

      Gelecekteki herhangi bir senaryoya hazırlıklı olmak için bir analist ekibi, Lu0Bot’un son örneklerinden birinin derinlemesine bir teknik analizini gerçekleştirdi ve bir makale yayınladı süreçlerini belgeliyorlar RC4 tuşu

      Yardımıyla özel bir senaryosatırların şifresi çözüldü ve alan adlarının bazı kısımlarının örneğe sabit kodlandığı ortaya çıktı

      Örnek yürütme sırasındaki süreç ağacı

      Yorumlayıcının başlangıç ​​klasörüne kopyalandığı keşfedildi ANY

      eqnyiodbs dosyalarının içeriği
      3

      Kod dönüşümünün sonucu

      Kod, bir dizi şifrelenmiş dizeyle başladı

      hwco işlevinden dize çıktısı

      Noktadan sonraki bağlantı noktası, sayı ve etki alanı segmenti acc dizisinden çıkarıldı ve ardından değişkenlere atandı

      İlk fonksiyonun (ginf) sistem bilgilerini topladı ve sistem ayrıntılarını içeren 15 öğeli bir dizi üretti

      Daha sonra EXE dosyası, fjlpexyjauf gyvdcniwvlu RUN’a dahil edilerek hizmetin herhangi bir Lu0Bot örneğini hızlı bir şekilde tanımlamasına ve dizelerin şifresini çözdükten sonra C2 alanlarını ortaya çıkarmasına olanak sağlandı

      Bu işlev iki değişken kullanılarak çağrıldı:

      1



      siber-2

      Kötü amaçlı yazılım, yürütüldükten sonra veri iletimi için bir adres aradı js kötü amaçlı yazılımı Lu0Bot bu eğilimin bir kanıtıdır

      kullanarak kuruluşunuzu bu ve diğer kötü amaçlı yazılımlardan koruyun Bu genel bakış için kod analizine odaklanalım

      İçerikleri arşivle
      1

      Kodun gizlenmesinin ardından

      Bunu takiben kodun alan adının birleştirilmesinden sorumlu bölümü keşfedildi

      Modern web uygulamalarında yaygın olan, platformdan bağımsız bir çalışma ortamı ortamını hedef alan ve çok katmanlı gizlemeyi kullanan Lu0Bot, kuruluşlar ve bireyler için ciddi bir tehdittir dat dosyası

      Bu dosyanın Base64’te şifrelenmiş baytları vardı ve bu baytların şifresi, verilen giriş numarası kullanılarak çözülebilirdi