Lu0bot 恶意软件,一种基于 Node.JS 的有趣威胁
网络犯罪分子使用不同的策略从他们破坏的系统或他们设法窃取的数据中获利。他们中的一些人使用它来执行更复杂的攻击,而另一些人则试图尽快兑现。后一种犯罪分子经常将受感染机器的访问权转售给出价最高的人。用于此类购买的最受欢迎的地下服务之一最近释放了一种新的、以前看不见的恶意软件。值得注意的是,被称为 Lu0bot 恶意软件的威胁可能仍在开发中。其代码的长部分被注释掉,使它们变得无用,其他部分包括长的故障排除算法。
Lu0bot 恶意软件的确切用途尚不清楚——其灵活的结构和功能使其能够满足各种目的。初始负载是一个用 C 编写的非常小的文件,但它有一个特殊的目的。 Lu0bot 恶意软件安装了一个非常旧版本的 Node.JS 框架(从 2016 年开始)。Node.JS 是一个 JavaScript 框架,它引入了丰富的增强特性和功能库。犯罪分子依靠 Node.JS 脚本在他们入侵的系统上执行恶意代码,这就是为什么安装框架是攻击的第一阶段。
Lu0bot 恶意软件目前专注于数据收集
一旦激活,Lu0bot 恶意软件的复杂结构就会发挥作用。有效载荷具有丰富的脚本库,旨在收集有关受感染机器的数据。犯罪分子追踪的信息包括:
- 运行进程和服务。
- 我的文档、桌面、程序文件等文件夹的内容。
- 网络配置。
- 硬件和软件列表。
- 附加的外围设备。
Lu0bot 恶意软件使用的网络通道也是随机的。负载可能会定期在 UDP 和 TCP 之间切换,而不是依赖于典型的 HTTP 连接。它用来混淆其通信和内容的加密也有很大差异。 Lu0bot 恶意软件代码的某些部分依赖于 Blowfish 算法,而其他部分则使用 XOR、Diffie-Hellman 和 AES-128-CBC。这使得有效载荷的剖析和分析成为一项具有挑战性的任务。
最后但并非最不重要的是,Lu0bot 恶意软件能够实时从其控制服务器接收新代码。这意味着 Lu0bot 恶意软件的功能几乎是无限的——犯罪分子可以利用他们的编程知识来实现他们想要使用的几乎任何功能。这种模块化结构使 Lu0bot 恶意软件更加危险。
到目前为止,Lu0bot 恶意软件的有效载荷尚未完全武器化,但发生这种情况只是时间问题。该项目背后的犯罪分子显然知识渊博且经验丰富,因此他们的攻击可能会成为一个大问题。采取必要措施,使用最新的防病毒软件来保护您的网络和系统。除此之外,对所有软件和硬件应用最新的补丁和更新。
