Što je Mylobot i kako ovaj malware radi?

Što je Mylobot i kako ovaj malware radi?

U 2017. sigurnosni istraživači otkrili su oko 23 000 uzoraka zlonamjernog softvera svaki dan, što je oko 795 komada zlonamjernog softvera proizvedenog svakog sata. Zvuči užasno, ali zapravo većina ovih uzoraka su varijacije postojećeg zlonamjernog softvera, samo koristi drugačiji kod za stvaranje "novog" potpisa. Međutim, nedavno se pojavio novi, vrlo sofisticirani komad zlonamjernog softvera pod nazivom Mylobot.

Što je Mylobot?

Mylobot je botnet malware koji sadrži veliki broj zloćudnih namjera. Tom Nipravsky, sigurnosni istraživač za Deep Instinct, prvi je otkrio ovaj malware.

Što je Mylobot i kako ovaj malware radi?

Ovaj zlonamjerni softver kombinira niz složenih tehnika zaraze i maskiranja u jednom moćnom paketu. Evo tehnika koje se koriste u Mylobotu:

  • Tehnika protiv virtualnog stroja (VM) : Ovaj zlonamjerni softver ispituje računalnu okolinu tražeći znakove korištenja virtualnog stroja . Ako se pronađe bilo kakva naznaka da korisnik koristi virtualno računalo, ono se neće pokrenuti.
  • Anti-sandbox tehnike : vrlo slične tehnikama anti-virtualnog stroja.

Pogledajte više: 7 najboljih Sandbox aplikacija za Windows 10

  • Tehnike za uklanjanje pogrešaka : Spriječite sigurnosne istraživače da učinkovito rade na uzorku zlonamjernog softvera promjenom ponašanja određenog programa za uklanjanje pogrešaka.
  • Omotajte unutarnje dijelove šifriranom datotekom resursa : Zaštitite unutarnji kod zlonamjernog softvera enkripcijom.
  • Tehnika napada ubrizgavanjem koda : Mylobot pokreće prilagođeni kod za napad na sustav, inficirajući procese ovim kodom za pristup i ometanje redovitih operacija.
  • Prazna oznaka : Napadač stvara novi proces u suspendiranom stanju, a zatim ga zamjenjuje skrivenim procesom.
  • Reflektivna EXE tehnika : Pokrećite EXE datoteke iz memorije umjesto na pogonu.
  • Mehanizam odgode : Zlonamjerni softver kasni 14 dana prije povezivanja s poslužiteljem za naredbe i kontrolu.

Mylobot izvodi razne tehnike kako bi ostao skriven.

Anti-sandbox, anti-debug i anti-virtualne strojne tehnike pokušavaju spriječiti otkrivanje zlonamjernog softvera tijekom skeniranja pomoću anti-malware softvera , kao i spriječiti sigurnosne istraživače da izoliraju zlonamjerni softver na stroju. virtualno ili sandbox okruženje za analizu i istraživanje .

Mylobot koristi Reflective EXE kako bi ga još teže otkrio jer ne radi izravno na disku, pa ga ne može analizirati antivirusni ili antimalware softver.

"Njegova struktura koda je vrlo složena, ovo je zlonamjerni softver s više niti, svaka je nit odgovorna za implementaciju različitih mogućnosti zlonamjernog softvera", napisao je Nipravsky u objavi. Također je spomenuto: “Ovaj zlonamjerni softver sadrži tri sloja datoteka, ugniježđenih jedna u drugu, gdje je svaki sloj odgovoran za izvršavanje sljedećeg. Završni sloj koristi tehniku ​​Reflective EXE".

Zajedno s tehnikama protiv analize i otkrivanja, Mylobot može odgoditi 14 dana, a zatim uspostaviti kontakt sa svojim poslužiteljem za naredbe i kontrolu. Kada Mylobot uspostavi vezu, botnet isključuje Windows Defender i Windows Update , kao i zatvara neke portove Windows vatrozida.

Mylobot traži i ubija druge vrste zlonamjernog softvera

Jedna od zanimljivih i rijetkih značajki ovog Mylobot zlonamjernog softvera je ta da ima mogućnost pretraživanja i uništavanja drugog zlonamjernog softvera. Za razliku od drugog zlonamjernog softvera, Mylobot je spreman uništiti ove vrste zlonamjernog softvera ako je prisutan u sustavu. Skenira mapu Application Data sustava u potrazi za uobičajenim zlonamjernim datotekama i mapama. Ako pronađe bilo koju određenu datoteku ili proces, Mylobot će ga "ubiti".

Što točno Mylobot radi?

Glavna funkcija Mylobota je kontrola sustava, iz kojeg napadač ima pristup podacima za online prijavu, sistemskim datotekama itd. Razina štete ovisi o napadaču na sustav. Može prouzročiti veliku štetu, osobito kada prodre u korporativno okruženje.

Mylobot je također povezan s drugim botnetovima kao što su DorkBot, Ramdo i zloglasna mreža Locky. Ako Mylobot djeluje kao "provodnik" za botnete i druge vrste malwarea, onda je to prava katastrofa.

Kako se suprotstaviti Mylobotu

Loša vijest je da Mylobot inficira sustave više od dvije godine. Njegov zapovjedni i kontrolni poslužitelj prvi je put pronađen u studenom 2015. Mylobot je dugo vremena izmicao svim drugim istraživačima i sigurnosnim tvrtkama prije nego što ga je otkrio Deep Instinctov alat za istraživanje mreže za "duboko učenje".

Konvencionalni antivirusni i antimalware alati ne mogu zaštititi od Mylobota barem za sada. Sada kada je dostupan uzorak Mylobota, mnogi ga istraživači i sigurnosne tvrtke mogu koristiti za pronalaženje mjera protiv ovog zlonamjernog softvera.

U međuvremenu, trebali biste provjeriti naš popis antivirusnih i računalnih sigurnosnih alata . Iako ovi alati ne mogu uništiti Mylobot, mogu zaustaviti drugi zlonamjerni softver. Dodatno, možete pogledati članak Potpuno uklonite zlonamjerni softver (malware) na računalima sa sustavom Windows 10 .

Vidi više:


Što su FAT32, NTFS, exFAT formati?

Što su FAT32, NTFS, exFAT formati?

NTFS, FAT32, exFAT su datotečni sustavi na Windowsima, ali konkretno što je NTFS, što je FAT32, što je exFAT, koje su njihove sličnosti i razlike? Pozivamo čitatelje da pogledaju ovaj članak.

Saznajte više o Telnet protokolu

Saznajte više o Telnet protokolu

Telnet je protokol naredbenog retka koji se koristi za daljinsko upravljanje raznim uređajima kao što su poslužitelji, računala, usmjerivači, preklopnici, kamere, vatrozidi.

Što je prijava bez lozinke? Je li stvarno sigurno?

Što je prijava bez lozinke? Je li stvarno sigurno?

Ako ne koristite lozinku, kako ćete zaštititi svoj račun? Što su prijave bez lozinke i jesu li sigurne? Otkrijmo s Quantrimang.com kroz sljedeći članak!

Što je oštećenje podataka?

Što je oštećenje podataka?

Kada netko raspravlja o čuvanju osjetljivih podataka, vjerojatno ćete čuti izraz "oštećenje podataka". Dakle, što je "oštećenje podataka" i kako možete popraviti svoje datoteke ako nešto pođe po zlu?

Saznajte više o Cloud Firewallu

Saznajte više o Cloud Firewallu

Kako se tehnologija oko nas razvija, vatrozide također treba prenijeti u oblak kako bi išli u korak s trendom. Zato je nastao pojam cloud firewall.

Što je malware s potpisom koda i kako ga izbjeći?

Što je malware s potpisom koda i kako ga izbjeći?

Potpisivanje koda je metoda korištenja digitalnog potpisa temeljenog na certifikatu za dio softvera tako da operativni sustav i korisnici mogu utvrditi njegovu sigurnost. Što je malware potpisan kodom i kako radi?

13 razloga zašto biste trebali koristiti VPN

13 razloga zašto biste trebali koristiti VPN

Virtualne privatne mreže pristupačne su, jednostavne su za korištenje i važna su komponenta postavki računala i pametnih telefona. Uz vatrozid i antivirusno/antimalware rješenje, trebali biste instalirati VPN tako da svaki trenutak koji provedete na mreži bude potpuno privatan.

Što je Mylobot i kako ovaj malware radi?

Što je Mylobot i kako ovaj malware radi?

U 2017. sigurnosni istraživači otkrili su oko 23 000 uzoraka zlonamjernog softvera svaki dan, što je oko 795 komada zlonamjernog softvera proizvedenog svakog sata. Nedavno se pojavio novi, vrlo sofisticirani komad malwarea pod nazivom Mylobot.

Naučite o decibelima (dB) u računalnim mrežama

Naučite o decibelima (dB) u računalnim mrežama

Decibel (dB) je standardna mjerna jedinica koja se koristi za mjerenje jačine signala žične i bežične mreže.

Što je Catalyst Control Center (CCC.exe)?

Što je Catalyst Control Center (CCC.exe)?

Catalyst Control Center je uslužni program koji dolazi s upravljačkim programom i pomaže u radu AMD video kartica. Pojavljuje se kao CCC.exe u korisničkom upravitelju zadataka i u većini slučajeva o tome se nikada nećete morati brinuti.