Mikä Mylobot on ja miten tämä haittaohjelma toimii?

Vuonna 2017 tietoturvatutkijat havaitsivat noin 23 000 haittaohjelmanäytettä päivittäin, mikä on noin 795 kappaletta haittaohjelmia, joita tuotetaan joka tunti. Se kuulostaa kamalalta, mutta itse asiassa suurin osa näistä näytteistä on muunnelmia olemassa olevista haittaohjelmista, se vain käyttää eri koodia luodakseen "uuden" allekirjoituksen. Äskettäin on kuitenkin ilmaantunut uusi, erittäin hienostunut haittaohjelma nimeltään Mylobot.

Mikä on Mylobot?

Mylobot on botnet -haittaohjelma , joka sisältää suuren määrän haitallisia tavoitteita. Tom Nipravsky, Deep Instinctin tietoturvatutkija, oli ensimmäinen, joka löysi tämän haittaohjelman.

Tämä haittaohjelma yhdistää joukon monimutkaisia ​​infektio- ja hämärtymistekniikoita yhdessä tehokkaassa paketissa. Tässä ovat Mylobotissa käytetyt tekniikat:

• Anti-Virtual Machine (VM) -tekniikka : Tämä haittaohjelma tutkii tietokoneympäristön merkkejä virtuaalikoneen käytöstä . Jos havaitaan viitteitä siitä, että käyttäjä käyttää virtuaalikonetta, sitä ei suoriteta.
• Hiekkalaatikon vastaiset tekniikat : Hyvin samankaltaiset kuin virtuaalikoneen vastaiset tekniikat.

Katso lisää: 7 parasta hiekkalaatikkosovellusta Windows 10:lle

• Virheenkorjauksen estotekniikat : Estä tietoturvatutkijoita työskentelemästä tehokkaasti haittaohjelmanäytteen parissa muuttamalla tietyn virheenkorjausohjelman toimintaa.
• Kääri sisäosat salatulla resurssitiedostolla : Suojaa haittaohjelman sisäinen koodi salauksella.
• Koodin lisäyshyökkäystekniikka : Mylobot käyttää mukautettua koodia hyökätäkseen järjestelmään ja saastuttaa prosesseja tällä koodilla päästäkseen ja häiritsemään normaalia toimintaa.
• Tyhjä kahva : Hyökkääjä luo uuden prosessin keskeytetyssä tilassa ja korvaa sen sitten piilotetulla prosessilla.
• Heijastava EXE-tekniikka : Suorita EXE-tiedostoja muistista aseman sijaan.
• Viivemekanismi : Haittaohjelma viivästyy 14 päivää ennen yhteyden muodostamista komento- ja ohjauspalvelimeen.

Mylobot suorittaa erilaisia ​​tekniikoita pysyäkseen piilossa.

Anti-hiekkalaatikon, virheenkorjauksen ja virtuaalisen koneen vastaiset tekniikat yrittävät estää haittaohjelmien havaitsemisen haittaohjelmien torjuntaohjelmistolla tehtävän tarkistuksen aikana sekä estävät tietoturvatutkijat eristämästä haittaohjelmia koneelta. Virtuaalinen tai hiekkalaatikkoympäristö analysointia ja tutkimusta varten .

Mylobot käyttää Reflective EXE:tä tehdäkseen sen havaitsemisen entistä vaikeammaksi, koska se ei toimi suoraan asemassa, joten virustentorjunta- tai haittaohjelmien torjuntaohjelmisto ei pysty analysoimaan sitä.

"Sen koodirakenne on erittäin monimutkainen, tämä on monisäikeinen haittaohjelma, jokainen säie vastaa haittaohjelman erilaisten ominaisuuksien toteuttamisesta", Nipravsky kirjoitti viestissä. Ja mainitsi myös: "Tämä haittaohjelma sisältää kolme kerrosta tiedostoja, jotka ovat sisäkkäisiä ja joista jokainen on vastuussa seuraavan suorittamisesta. Viimeinen kerros käyttää Reflective EXE -tekniikkaa."

Anti-analyysin ja havainnoinnin estotekniikoiden lisäksi Mylobot voi viivästyttää 14 päivää ja ottaa sitten yhteyttä komento- ja ohjauspalvelimeensa. Kun Mylobot muodostaa yhteyden, bottiverkko sammuttaa Windows Defenderin ja Windows Updaten sekä sulkee joitain Windowsin palomuurin portteja.

Mylobot etsii ja tappaa muun tyyppisiä haittaohjelmia

Yksi tämän Mylobot-haittaohjelman mielenkiintoisista ja harvinaisista ominaisuuksista on, että sillä on kyky etsiä ja tuhota muita haittaohjelmia. Toisin kuin muut haittaohjelmat, Mylobot on valmis tuhoamaan tämäntyyppiset haittaohjelmat, jos niitä on järjestelmässä. Se tarkistaa järjestelmän Application Data -kansiosta yleisiä haittaohjelmatiedostoja ja kansioita. Jos se löytää tietyn tiedoston tai prosessin, Mylobot "tappaa" sen.

Mitä Mylobot siis tarkalleen tekee?

Mylobotin päätehtävänä on hallita järjestelmää, josta hyökkääjällä on pääsy online-kirjautumistietoihin, järjestelmätiedostoihin jne. Vahingon taso riippuu järjestelmän hyökkääjästä. Se voi aiheuttaa suurta vahinkoa etenkin tunkeutuessaan yritysympäristöön.

Mylobot on myös linkitetty muihin bottiverkkoihin, kuten DorkBot, Ramdo ja surullisen kuuluisa Locky-verkko. Jos Mylobot toimii botnet-verkkojen ja muiden haittaohjelmien "kanavana", tämä on todellinen katastrofi.

Kuinka torjua Mylobot

Huono uutinen on, että Mylobot on tartuttanut järjestelmiä yli kahden vuoden ajan. Sen komento- ja ohjauspalvelin löydettiin ensimmäisen kerran marraskuussa 2015. Mylobot vältti kaikkia muita tutkijoita ja tietoturvayrityksiä pitkään ennen kuin Deep Instinctin "syvän oppimisen" verkkotutkimustyökalu löysi sen.

Perinteiset virus- ja haittaohjelmat eivät pysty suojaamaan Mylobotilta ainakaan toistaiseksi. Nyt kun Mylobot-näyte on saatavilla, monet tutkijat ja tietoturvayritykset voivat käyttää sitä löytääkseen toimenpiteitä tätä haittaohjelmaa vastaan.

Sillä välin sinun kannattaa tutustua virustorjunta- ja tietoturvatyökalujen luetteloomme . Vaikka nämä työkalut eivät voi tuhota Mylobotia, ne voivat estää muita haittaohjelmia. Lisäksi voit tutustua artikkeliin Haittaohjelmien (haittaohjelmien) poistaminen kokonaan Windows 10 -tietokoneista .

Katso lisää:

• 9 asiaa, jotka sinun on tehtävä, kun huomaat, että tietokoneesi on saastunut haittaohjelmista
• Kuinka monta haittaohjelmatyyppiä tunnet ja tiedätkö kuinka estää niitä?
• 10 tyypillistä haittaohjelmatyyppiä