Lu0bot 惡意軟件,一種基於 Node.JS 的有趣威脅
網絡犯罪分子使用不同的策略從他們破壞的系統或他們設法竊取的數據中獲利。他們中的一些人使用它來執行更複雜的攻擊,而另一些人則試圖盡快兌現。後一種犯罪分子經常將受感染機器的訪問權轉售給出價最高的人。用於此類購買的最受歡迎的地下服務之一最近釋放了一種新的、以前看不見的惡意軟件。值得注意的是,被稱為 Lu0bot 惡意軟件的威脅可能仍在開發中。其代碼的長部分被註釋掉,使它們變得無用,其他部分包括長的故障排除算法。
Lu0bot 惡意軟件的確切用途尚不清楚——其靈活的結構和功能使其能夠滿足各種目的。初始負載是一個用 C 編寫的非常小的文件,但它有一個特殊的目的。 Lu0bot 惡意軟件安裝了一個非常舊版本的 Node.JS 框架(從 2016 年開始)。Node.JS 是一個 JavaScript 框架,它引入了豐富的增強特性和功能庫。犯罪分子依靠 Node.JS 腳本在他們入侵的系統上執行惡意代碼,這就是為什麼安裝框架是攻擊的第一階段。
Lu0bot 惡意軟件目前專注於數據收集
一旦激活,Lu0bot 惡意軟件的複雜結構就會發揮作用。有效載荷具有豐富的腳本庫,旨在收集有關受感染機器的數據。犯罪分子追踪的信息包括:
- 運行進程和服務。
- 我的文檔、桌面、程序文件等文件夾的內容。
- 網絡配置。
- 硬件和軟件列表。
- 附加的外圍設備。
Lu0bot 惡意軟件使用的網絡通道也是隨機的。負載可能會定期在 UDP 和 TCP 之間切換,而不是依賴於典型的 HTTP 連接。它用來混淆其通信和內容的加密也有很大差異。 Lu0bot 惡意軟件代碼的某些部分依賴於 Blowfish 算法,而其他部分則使用 XOR、Diffie-Hellman 和 AES-128-CBC。這使得有效載荷的剖析和分析成為一項具有挑戰性的任務。
最後但並非最不重要的是,Lu0bot 惡意軟件能夠實時從其控制服務器接收新代碼。這意味著 Lu0bot 惡意軟件的功能幾乎是無限的——犯罪分子可以利用他們的編程知識來實現他們想要使用的幾乎任何功能。這種模塊化結構使 Lu0bot 惡意軟件更加危險。
到目前為止,Lu0bot 惡意軟件的有效載荷尚未完全武器化,但發生這種情況只是時間問題。該項目背後的犯罪分子顯然知識淵博且經驗豐富,因此他們的攻擊可能會成為一個大問題。採取必要措施,使用最新的防病毒軟件來保護您的網絡和系統。除此之外,對所有軟件和硬件應用最新的補丁和更新。
