Node.js Kötü Amaçlı Yazılımı Kurbanın Bilgisayarını Ele Geçiriyor


Tespit edilmeyi önlemek için görünümünü sürekli değiştiren polimorfik kod gibi stratejiler ve eylemlerini gizlemek için şifreleme ve gizleme kullanma gibi stratejiler sayesinde, kötü amaçlı yazılımlar daha karmaşık ve sinsi hale geliyor.

Ek olarak, kötü amaçlı yazılımlar, sistemlere sızmak ve geleneksel güvenlik önlemleriyle tespit edilmekten kaçınmak için sosyal mühendislikten ve aşağıdakiler gibi gelişmiş dağıtım yöntemlerinden giderek daha fazla yararlanıyor:

  • Yemleme kancası
  • Sıfır gün istismarları

Yakın zamanda Any.Run’daki siber güvenlik araştırmacıları, kurbanın bilgisayar sistemini tamamen ele geçiren Node.js tabanlı Lu0Bot kötü amaçlı yazılım örneğini inceledi.

Başlangıçta basit bir DDOS botu olduğu düşünülen ancak daha karmaşık olduğu ortaya çıkan Node.js kötü amaçlı yazılımı araştırmacıların ilgisini çekti. Node.js, modern web uygulamalarında kullanılan çok yönlü bir çalışma zamanı ortamını hedefler.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Lu0Bot Kötü Amaçlı Yazılım

JavaScript kullanan bu kötü amaçlı yazılım, çok katmanlı gizleme teknikleri kullandığından, ayırt edici bir tespit zorluğu yaratmasının nedeni budur.

Lu0bot, Şubat 2021’de bir GCleaner ikinci aşama yükü olarak ortaya çıktı ve bir C2 sunucusundan komutlar bekleyen ve şifrelenmiş sistem verileri gönderen bir bot olarak işlev görüyor.

Botun etkinliği, karanlık pazarlarda 5-8 yeni aylık örnekle mütevazı düzeyde.

Şu an itibariyle, Ağustos ayında yalnızca bir yeni örnek yüklendi, ancak spekülatif olmasına rağmen C2 komutlarını bekleyen daha fazla hareketsiz örnek olabilir.

Sınırlı faaliyete rağmen, Lu0bot’un yaratıcı Node.js tasarımı, yeteneklerinin yalnızca dilin kendisiyle sınırlı olmasıyla onu diğerlerinden ayırıyor.

Botun IP adresi sorunu nedeniyle güvenlik analistleri canlı bir örnek bulamadı. Ancak halka açık bir örnek bağlandı ve tetiklendi: –

  • JavaScript
  • Yeni bir alan adı
  • Şifreli borsalar

Araştırmacılar, dosyada herhangi bir yardımcı programla açılabilen, kendi kendine açılan bir arşiv görevi gören bir SFX paketleyicisini hızlı bir şekilde tespit etti.

SFX-paketleyici (Kaynak – Any.Run)

Bunun yanı sıra arşiv bir BAT dosyası ve daha fazlasını içerir: –

  • BAT dosyası
  • Dosyalar eqnyiodbs.dat
  • lknidtnqmg.dat dosyası
  • gyvdcniwvlu.dat dosyası

Statik analiz aşağıdaki hususları vurgular: –

Bu kötü amaçlı yazılım, JS kodundaki parçalardan bir araya gelerek etki alanını nasıl oluşturduğuyla öne çıkıyor.

DNS isteği
DNS istekleri (Kaynak – Any.Run)

Güvenlik araştırmacıları, oldukça karmaşık ve okunamayan bir JavaScript kodu aldı.

okunamayan kod
Okunamayan kod (Kaynak – Any.Run)

Araştırmacılar, fazla baytları kaldırdıktan ve bir JavaScript kod çözücü uyguladıktan sonra kodun okunabilirliğini doğruladılar ve bu dönüşümle sonuçlandı:

dönüştürülmüş kod
Dönüştürülen kod (Kaynak – Any.Run)

Kod, şifrelenmiş bir dize dizisiyle başlar ve bu dizi: –

  • Manipülasyona uğrar
  • BASE64 kullanarak şifreyi çözer
  • URL kodlaması
  • İki değişkenli RC4

Lu0Bot’un yetenekleri

Aşağıda, Lu0Bot kötü amaçlı yazılımının tüm yeteneklerinden bahsettik: –

  • Tuş vuruşlarını kaydetme
  • Kimlik Hırsızı
  • Kurbanın bilgisayarının tam kontrolünü ele geçirmek
  • DDOS botu olarak çalışma
  • Ele geçirilen sistemin yasa dışı faaliyetler gerçekleştirmek için kullanılması

Lu0bot’un kampanyası ölçeklenirse ve sunucu aktif hale gelirse, NODE JS’nin kendine özgü kullanımı, onu potansiyel riskleri olan ilgi çekici bir analiz konusu haline getirir.

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link