Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

Önemli Yeteneklere Sahip Bir Node.js Kötü Amaçlı Yazılımı olan Lu0Bot'un Analizi ve Yapılandırma Çıkarımı - Dünyadan Güncel Teknoloji Haberleri

2 Yeni IOC’leri ve yapılandırmaları saniyeler içinde toplayın

Analiz, yürütme sonrasında ana sürecin bir EXE dosyasını başlatan bir BAT dosyasını başlattığını ortaya çıkardı Bir sonraki satır, belirli koşulların karşılanması durumunda alternatif bir alan seçti js kötü amaçlı yazılımı Lu0Bot bu eğilimin bir kanıtıdır eqnyiodbs RUN’da Lu0Bot’un dinamik kötü amaçlı yazılım analizi

Bir sonraki adım, EXE dosyasının ve lknidtnqmg Dizideki bir öğe

Kötü amaçlı yazılım, yürütüldükten sonra veri iletimi için bir adres aradı

eqnyiodbs dosyalarının içeriği
3 HERHANGİ BİR ÇALIŞMA şüpheli dosyaları veya bağlantıları hızlı bir şekilde analiz etmek ve saniyeler içinde kesin bir karara varmak için RUN etkileşimli kötü amaçlı yazılım Davranışlarını izlemek ve baytların şifresini çözmek veya şifresi çözülmüş halde bunları işlem belleğinde bulmak için sanal alan Yazıdan ulaşabilirsiniz

hwco işlevinden dize çıktısı

Noktadan sonraki bağlantı noktası, sayı ve etki alanı segmenti acc dizisinden çıkarıldı ve ardından değişkenlere atandı dat dosyasının araştırılmasını içeriyordu Bu genel bakış için kod analizine odaklanalım

Ayrıca kötü amaçlı yazılım, çeşitli parçaları JS kodu içinde tek bir varlıkta birleştirerek etki alanı bağlantısına benzersiz bir yaklaşım sergiledi

İşte araştırmalarına genel bir bakış

Lu0bot tespiti

Ekip, çabalarının bir parçası olarak çok sayıda istihbarat ve IOC’yi ortaya çıkarmanın yanı sıra YARA, Sigma ve Suricata kurallarını da yazmayı başardı

Etki alanı inşaatı
JavaScript kodunda hata ayıklama

Hata ayıklamak için ekip, Node Bundan sonra, BASE64’ün (T1132

Kodun gizlenmesinin ardından

Bunu takiben kodun alan adının birleştirilmesinden sorumlu bölümü keşfedildi BAT dosyası

BAT dosyasının içeriği

Dosyanın ilk satırında belirsiz kalan ve daha sonra başvurulmayan bir yorum yer alıyordu gyvdcniwvlu

Noktadan sonra alan adını seçin

Diğer birkaç işlemden sonra alan tamamen birleştirildi ve gerekli tüm öğeler bir JSON nesnesine paketlendi Daha sonra belirli öğeler manipülasyon yoluyla dizinin sonuna taşındı RUN etkileşimli sanal alanındaki kötü amaçlı yazılımları analiz etmek için 14 günlük ücretsiz deneme sürümünü kullanın

Şu anda düşük düzeyde bir etkinlik sergilemesine rağmen Lu0bot, kampanyasının ölçeklenmesi ve C2 sunucusunun aktif olarak yanıt vermeye başlaması durumunda önemli bir risk oluşturabilir

Ekibinizle birlikte özel modda çalışın

Örnek yürütme sırasındaki süreç ağacı

Yorumlayıcının başlangıç ​​klasörüne kopyalandığı keşfedildi



siber-2

JS kodunu analiz etme

Başlangıçta anlaşılmaz olan JavaScript kodu, gereksiz baytların kaldırılması ve bir JavaScript kod çözücünün kullanılmasıyla netleştirildi Kötü niyetli davranışlarını ortaya çıkarmak için özel bir VM’deki dosyalar ve bağlantılarla etkileşime geçin dat dosyasının içeriği 4

Bu işlev iki değişken kullanılarak çağrıldı:

1 js dosyasını toplamak için bir komut çalıştırdım

  • Gelen verileri komut satırına girerek x32dbg’de fjlpexyjauf exe başlatıldı
  • JS kod yürütmesinin başladığı noktaya geldim
  • Kodu bellekte buldu ve bir dökümü kaydetti
  • Paketten çıkarma ve boşaltma işlemlerinin nasıl yürütüldüğünü görmek için orijinal makaleye bakın

    Lu0Bot örneğinin statik analizi

    örnek Araştırma kapsamında, herhangi bir arşiv yardımcı programıyla açılabilen, kendiliğinden açılan bir arşiv olan SFX paketleyicisi kullanıldı

    İlk fonksiyonun (ginf) sistem bilgilerini topladı ve sistem ayrıntılarını içeren 15 öğeli bir dizi üretti

    DNS istekleri
    Kötü Amaçlı Yazılım Analizi

    ANY

    Kod dönüşümünün sonucu

    Kod, bir dizi şifrelenmiş dizeyle başladı dat dosyaları

    Dosya bayt bloklarına bölündü ve bunlar daha sonra Düğüm yorumlayıcısını oluşturmak için birleştirildi exe –inspect-brk *çöp baytları olmadan obfuscate dökümü*) kullandı, “var” anahtar kelimesine bir kesme noktası yerleştirdi ve her satır tarafından oluşturulan çıktıyı gözlemledi js’yi inspect-brk parametresiyle (node Benzersiz bir etki alanı yapısına sahiptir ve dizeler için özel şifreleme yöntemleri kullanır Sunucu trafiği aldıktan sonra JS kodunu gönderdi

    Gelecekteki herhangi bir senaryoya hazırlıklı olmak için bir analist ekibi, Lu0Bot’un son örneklerinden birinin derinlemesine bir teknik analizini gerçekleştirdi ve bir makale yayınladı süreçlerini belgeliyorlar lknidtnqmg

    Ücretsiz denemeyi başlatın Bir sökücü ve hata ayıklayıcı kullanarak Lu0Bot kötü amaçlı yazılımının teknik analizi

    Ana JS koduna erişmek için ekip: