U 2017. sigurnosni istraživači otkrili su oko 23 000 uzoraka zlonamjernog softvera svaki dan, što je oko 795 komada zlonamjernog softvera proizvedenog svakog sata. Zvuči užasno, ali zapravo većina ovih uzoraka su varijacije postojećeg zlonamjernog softvera, samo koristi drugačiji kod za stvaranje "novog" potpisa. Međutim, nedavno se pojavio novi, vrlo sofisticirani komad zlonamjernog softvera pod nazivom Mylobot.
Što je Mylobot?
Mylobot je botnet malware koji sadrži veliki broj zloćudnih namjera. Tom Nipravsky, sigurnosni istraživač za Deep Instinct, prvi je otkrio ovaj malware.
Ovaj zlonamjerni softver kombinira niz složenih tehnika zaraze i maskiranja u jednom moćnom paketu. Evo tehnika koje se koriste u Mylobotu:
- Tehnika protiv virtualnog stroja (VM) : Ovaj zlonamjerni softver ispituje računalnu okolinu tražeći znakove korištenja virtualnog stroja . Ako se pronađe bilo kakva naznaka da korisnik koristi virtualno računalo, ono se neće pokrenuti.
- Anti-sandbox tehnike : vrlo slične tehnikama anti-virtualnog stroja.
Pogledajte više: 7 najboljih Sandbox aplikacija za Windows 10
- Tehnike za uklanjanje pogrešaka : Spriječite sigurnosne istraživače da učinkovito rade na uzorku zlonamjernog softvera promjenom ponašanja određenog programa za uklanjanje pogrešaka.
- Omotajte unutarnje dijelove šifriranom datotekom resursa : Zaštitite unutarnji kod zlonamjernog softvera enkripcijom.
- Tehnika napada ubrizgavanjem koda : Mylobot pokreće prilagođeni kod za napad na sustav, inficirajući procese ovim kodom za pristup i ometanje redovitih operacija.
- Prazna oznaka : Napadač stvara novi proces u suspendiranom stanju, a zatim ga zamjenjuje skrivenim procesom.
- Reflektivna EXE tehnika : Pokrećite EXE datoteke iz memorije umjesto na pogonu.
- Mehanizam odgode : Zlonamjerni softver kasni 14 dana prije povezivanja s poslužiteljem za naredbe i kontrolu.
Mylobot izvodi razne tehnike kako bi ostao skriven.
Anti-sandbox, anti-debug i anti-virtualne strojne tehnike pokušavaju spriječiti otkrivanje zlonamjernog softvera tijekom skeniranja pomoću anti-malware softvera , kao i spriječiti sigurnosne istraživače da izoliraju zlonamjerni softver na stroju. virtualno ili sandbox okruženje za analizu i istraživanje .
Mylobot koristi Reflective EXE kako bi ga još teže otkrio jer ne radi izravno na disku, pa ga ne može analizirati antivirusni ili antimalware softver.
"Njegova struktura koda je vrlo složena, ovo je zlonamjerni softver s više niti, svaka je nit odgovorna za implementaciju različitih mogućnosti zlonamjernog softvera", napisao je Nipravsky u objavi. Također je spomenuto: “Ovaj zlonamjerni softver sadrži tri sloja datoteka, ugniježđenih jedna u drugu, gdje je svaki sloj odgovoran za izvršavanje sljedećeg. Završni sloj koristi tehniku Reflective EXE".
Zajedno s tehnikama protiv analize i otkrivanja, Mylobot može odgoditi 14 dana, a zatim uspostaviti kontakt sa svojim poslužiteljem za naredbe i kontrolu. Kada Mylobot uspostavi vezu, botnet isključuje Windows Defender i Windows Update , kao i zatvara neke portove Windows vatrozida.
Mylobot traži i ubija druge vrste zlonamjernog softvera
Jedna od zanimljivih i rijetkih značajki ovog Mylobot zlonamjernog softvera je ta da ima mogućnost pretraživanja i uništavanja drugog zlonamjernog softvera. Za razliku od drugog zlonamjernog softvera, Mylobot je spreman uništiti ove vrste zlonamjernog softvera ako je prisutan u sustavu. Skenira mapu Application Data sustava u potrazi za uobičajenim zlonamjernim datotekama i mapama. Ako pronađe bilo koju određenu datoteku ili proces, Mylobot će ga "ubiti".
Što točno Mylobot radi?
Glavna funkcija Mylobota je kontrola sustava, iz kojeg napadač ima pristup podacima za online prijavu, sistemskim datotekama itd. Razina štete ovisi o napadaču na sustav. Može prouzročiti veliku štetu, osobito kada prodre u korporativno okruženje.
Mylobot je također povezan s drugim botnetovima kao što su DorkBot, Ramdo i zloglasna mreža Locky. Ako Mylobot djeluje kao "provodnik" za botnete i druge vrste malwarea, onda je to prava katastrofa.
Kako se suprotstaviti Mylobotu
Loša vijest je da Mylobot inficira sustave više od dvije godine. Njegov zapovjedni i kontrolni poslužitelj prvi je put pronađen u studenom 2015. Mylobot je dugo vremena izmicao svim drugim istraživačima i sigurnosnim tvrtkama prije nego što ga je otkrio Deep Instinctov alat za istraživanje mreže za "duboko učenje".
Konvencionalni antivirusni i antimalware alati ne mogu zaštititi od Mylobota barem za sada. Sada kada je dostupan uzorak Mylobota, mnogi ga istraživači i sigurnosne tvrtke mogu koristiti za pronalaženje mjera protiv ovog zlonamjernog softvera.
U međuvremenu, trebali biste provjeriti naš popis antivirusnih i računalnih sigurnosnih alata . Iako ovi alati ne mogu uništiti Mylobot, mogu zaustaviti drugi zlonamjerni softver. Dodatno, možete pogledati članak Potpuno uklonite zlonamjerni softver (malware) na računalima sa sustavom Windows 10 .
Vidi više: