{"id":983147,"date":"2023-10-05T10:51:26","date_gmt":"2023-10-05T10:51:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/analisis-y-extraccion-de-configuracion-de-lu0bot-un-malware-de-node-js-con-capacidades-considerables\/"},"modified":"2023-10-05T10:51:29","modified_gmt":"2023-10-05T10:51:29","slug":"analisis-y-extraccion-de-configuracion-de-lu0bot-un-malware-de-node-js-con-capacidades-considerables","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/analisis-y-extraccion-de-configuracion-de-lu0bot-un-malware-de-node-js-con-capacidades-considerables\/","title":{"rendered":"An\u00e1lisis y extracci\u00f3n de configuraci\u00f3n de Lu0Bot, un malware de Node.js con capacidades considerables"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Hoy en d\u00eda, cada vez m\u00e1s desarrolladores de malware utilizan lenguajes de programaci\u00f3n no convencionales para eludir los sistemas de detecci\u00f3n avanzados. El malware Node.js Lu0Bot es un testimonio de esta tendencia.<\/p>\n

Al apuntar a un entorno de ejecuci\u00f3n independiente de la plataforma com\u00fan en las aplicaciones web modernas y emplear ofuscaci\u00f3n multicapa, Lu0Bot es una seria amenaza para organizaciones e individuos.<\/p>\n

Aunque actualmente el malware tiene poca actividad, es probable que los atacantes est\u00e9n esperando el momento adecuado para atacar. <\/p>\n

Para estar preparados para cualquier escenario futuro, un equipo de analistas realiz\u00f3 un an\u00e1lisis t\u00e9cnico en profundidad de una de las muestras recientes de Lu0Bot y public\u00f3 un art\u00edculo<\/a> documentando su proceso.<\/p>\n

Aqu\u00ed hay una descripci\u00f3n general de su investigaci\u00f3n.<\/p>\n

An\u00e1lisis est\u00e1tico de la muestra Lu0Bot. <\/h2>\n

El muestra<\/a> bajo investigaci\u00f3n utiliz\u00f3 un empaquetador SFX, un archivo autoextra\u00edble que se puede abrir con cualquier utilidad de archivo. Su contenido fue explorado individualmente.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Contenidos del archivo<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

1. archivo BAT<\/strong><\/h3>\n
    \n<\/ol>\n\n\n\n\n
    \"\"<\/a><\/td>\n<\/tr>\n
    El contenido del archivo BAT.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    La primera l\u00ednea del archivo conten\u00eda un comentario que no estaba claro y no se hizo referencia a \u00e9l m\u00e1s adelante. <\/p>\n

    A continuaci\u00f3n, el archivo EXE inclu\u00eda varios archivos, incluido un int\u00e9rprete de Node llamado fjlpexyjauf.exe. <\/p>\n

    Luego, el int\u00e9rprete recibi\u00f3 un archivo con bytes y un n\u00famero (%1% en la captura de pantalla) que probablemente sirvi\u00f3 como clave de cifrado para el archivo de bytes. <\/p>\n

    2. archivos eqnyiodbs.dat<\/strong><\/h3>\n
      \n<\/ol>\n

      El archivo se dividi\u00f3 en bloques de bytes, que luego se fusionaron para crear el int\u00e9rprete de Node.<\/p>\n\n\n\n\n
      \"\"<\/a><\/td>\n<\/tr>\n
      Contenido de los archivos eqnyiodbs<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

      3. Archivo lknidtnqmg.dat <\/strong><\/h3>\n
        \n<\/ol>\n

        Este archivo ten\u00eda bytes cifrados en Base64, que pod\u00edan descifrarse utilizando el n\u00famero de entrada proporcionado.<\/p>\n\n\n\n\n
        \"\"<\/a><\/td>\n<\/tr>\n
        Contenido del archivo lknidtnqmg.dat<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

        4. Archivo gyvdcniwvlu.dat <\/strong><\/h3>\n
          \n<\/ol>\n

          Este controlador permit\u00eda que los programas de 32 bits en sistemas x64 convirtieran c\u00f3digos de escaneo de claves en caracteres Unicode, probablemente utilizados para la funcionalidad de registro de teclas en el proceso principal.<\/p>\n

          An\u00e1lisis din\u00e1mico de malware de Lu0Bot en ANY.RUN <\/h2>\n

          El siguiente paso implic\u00f3 investigar el archivo EXE y lknidtnqmg.dat en el malware interactivo ANY.RUN <\/a>sandbox para monitorear su comportamiento y descifrar los bytes o ubicarlos descifrados en la memoria del proceso.<\/p>\n

          El an\u00e1lisis revel\u00f3 que, tras la ejecuci\u00f3n, el proceso principal inici\u00f3 un archivo BAT que lanz\u00f3 un archivo EXE. El c\u00f3digo acept\u00f3 entradas JS cifradas y recopil\u00f3 datos del sistema utilizando WMIC, incluida informaci\u00f3n sobre la ubicaci\u00f3n de ejecuci\u00f3n del proceso, que se aline\u00f3 con la t\u00e9cnica MITRE T1047.<\/p>\n\n\n\n\n
          \"\"<\/a><\/td>\n<\/tr>\n
          El \u00e1rbol de procesos durante la ejecuci\u00f3n de la muestra.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

          Se descubri\u00f3 que el int\u00e9rprete se copi\u00f3 en la carpeta de inicio. La conexi\u00f3n al dominio continu\u00f3 despu\u00e9s de que se reinici\u00f3 el sistema, lo que permiti\u00f3 que el bot siguiera operativo.<\/p>\n

          Adem\u00e1s, el malware demostr\u00f3 un enfoque \u00fanico para la conexi\u00f3n de dominios al ensamblar varias partes en una sola entidad dentro del c\u00f3digo JS.<\/p>\n\n\n\n\n
          \"\"<\/a><\/td>\n<\/tr>\n
          Solicitudes DNS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
          An\u00e1lisis de malware<\/span><\/p>\n

          Utilice una prueba gratuita de 14 d\u00edas para analizar malware en el entorno limitado interactivo de ANY.RUN.<\/p>\n

          <\/a><\/p>\n

          Trabaja junto con tu equipo en modo privado. Interact\u00fae con archivos y enlaces en una m\u00e1quina virtual dedicada para exponer su comportamiento malicioso. Recopile IOC y configuraciones nuevas en segundos.<\/p>\n

          Iniciar una prueba gratuita<\/a><\/section>\n

          An\u00e1lisis t\u00e9cnico del malware Lu0Bot mediante un desensamblador y depurador <\/strong><\/h2>\n

          Para acceder al c\u00f3digo JS principal, el equipo:<\/p>\n