„Lu0bot“ kenkėjiška programa, intriguojanti grėsmė, sukurta „Node“
Kibernetiniai nusikaltėliai naudojasi skirtingomis strategijomis, kad gautų naudos iš savo kompromituojamų sistemų arba iš duomenų, kuriuos pavyksta pavogti. Kai kurie iš jų naudoja įvykdyti sudėtingesnes atakas, o kiti stengiasi kuo greičiau išsigryninti pinigus. Pastarojo tipo nusikaltėliai dažnai perparduoda prieigą prie užkrėstų mašinų didžiausią kainą pasiūliusiam pirkėjui. Viena populiariausių požeminių paslaugų tokiems pirkimams neseniai atskleidė naują, anksčiau nematytą kenkėjišką programą. Svarbu pažymėti, kad grėsmė, pavadinta „Lu0bot Malware“, vis dar gali būti kuriama. Ilgos jos kodo dalys yra komentuojamos, todėl jos nenaudingos, o kitose dalyse yra ilgi trikčių šalinimo algoritmai.
Tikslus „Lu0bot“ kenkėjiškos programos tikslas dar nėra aiškus - lanksti jo struktūra ir funkcionalumas gali leisti įgyvendinti įvairius tikslus. Pradinė naudingoji apkrova yra labai mažas failas, parašytas C, tačiau jis turi savitą tikslą. „Lu0bot“ kenkėjiška programa įdiegia labai seną „Node.JS“ sistemos versiją (nuo 2016 m.). „Node.JS“ yra „JavaScript“ sistema, kurioje pateikiama turtinga patobulintų funkcijų ir funkcijų biblioteka. Nusikaltėliai remiasi „Node.JS“ scenarijais, kad paleistų kenksmingą kodą sistemose, kuriose jie pažeidžiami, todėl pagrindo įdiegimas yra pirmasis atakos etapas.
„Lu0bot“ kenkėjiškos programos šiuo metu sutelkia dėmesį į duomenų rinkimą
Kai „Lu0bot“ kenkėjiška programa bus aktyvi, pradės veikti sudėtinga jos struktūra. Naudingoji apkrova yra turtinga scenarijų biblioteka, skirta rinkti duomenis apie užkrėstą mašiną. Informacija, kuria naudojasi nusikaltėliai, apima:
- Vykdomi procesai ir paslaugos.
- Aplankų, tokių kaip „ Mano dokumentai“, „Darbalaukis“, „Programos failai“ ir kt., Turinys.
- Tinklo konfigūracija.
- Aparatinės ir programinės įrangos sąrašas.
- Pridedami periferiniai įrenginiai.
Tinklo kanalas, kurį naudoja kenkėjiška programa „Lu0bot“, taip pat yra atsitiktinis. Užuot pasikliaudamas tipiniu HTTP ryšiu, naudingoji apkrova gali reguliariai persijungti tarp UDP ir TCP. Šifravimas, kurį ji naudoja savo komunikacijai ir turiniui aptemdyti, taip pat labai skiriasi. Kai kurie „Lu0bot“ kenkėjiškų programų kodo skyriai remiasi „Blowfish“ algoritmu, kiti - su „XOR“, „Diffie-Hellman“ ir „AES-128-CBC“. Tai daro naudos krūvio atskleidimą ir analizę sudėtinga užduotimi.
Paskutinis, bet ne mažiau svarbus dalykas - „Lu0bot Malware“ gali realiu laiku gauti naują kodą iš savo valdymo serverio. Tai reiškia, kad kenkėjiškų programų „Lu0bot“ funkcionalumas praktiškai neribojamas - nusikaltėliai gali panaudoti savo programavimo žinias praktiškai įgyvendindami bet kokią funkciją, kurią norėtų naudoti. Dėl šios modulinės struktūros „Lu0bot“ kenkėjiška programa tampa ypač pavojinga.
Iki šiol „Lu0bot Malware“ naudingieji kroviniai nebuvo visiškai ginkluoti, tačiau laiko klausimas, kada tai įvyks. Nusikaltėliai, vykdantys šį projektą, yra aiškiai labai išmanantys ir patyrę, todėl jų išpuoliai gali pasirodyti gana problema. Imkitės reikiamų priemonių, kad apsaugotumėte savo tinklą ir sistemą naudodami naujausią antivirusinę programinę įrangą. Be to, pritaikykite naujausius pataisymus ir atnaujinimus visai programinei ir aparatinei įrangai.
