Kas ir Mylobot un kā šī ļaunprogrammatūra darbojas?

2017. gadā drošības pētnieki katru dienu atklāja aptuveni 23 000 ļaunprātīgas programmatūras paraugu, kas ir aptuveni 795 ļaunprātīgas programmatūras vienības, kas tiek ražotas katru stundu. Tas izklausās šausmīgi, bet patiesībā lielākā daļa šo paraugu ir esošās ļaunprogrammatūras varianti, tā vienkārši izmanto citu kodu, lai izveidotu "jaunu" parakstu. Tomēr nesen ir parādījusies jauna, ļoti sarežģīta ļaunprogrammatūra, ko sauc par Mylobot.

Kas ir Mylobot?

Mylobot ir robottīkla ļaunprātīga programmatūra , kas satur lielu skaitu ļaunprātīgu nolūku. Toms Nipravskis, Deep Instinct drošības pētnieks, bija pirmais, kurš atklāja šo ļaunprogrammatūru.

Šī ļaunprogrammatūra apvieno vairākas sarežģītas infekcijas un aizsprostošanas metodes vienā jaudīgā pakotnē. Tālāk ir norādītas Mylobot izmantotās metodes.

• Pretvirtuālās mašīnas (VM) tehnika : šī ļaunprogrammatūra pārbauda datora vidi, lai noteiktu virtuālās mašīnas lietošanas pazīmes . Ja tiek atrasta norāde, ka lietotājs izmanto virtuālo mašīnu, tā nedarbosies.
• Anti-sandbox metodes : ļoti līdzīgas antivirtuālās mašīnas metodēm.

Skatiet vairāk: 7 labākās smilškastes lietojumprogrammas operētājsistēmai Windows 10

• Pretatkļūdošanas metodes : neļaujiet drošības pētniekiem efektīvi strādāt pie ļaunprātīgas programmatūras parauga, mainot noteiktas atkļūdošanas programmas darbību.
• Aptiniet iekšējos elementus ar šifrētu resursa failu : aizsargājiet ļaunprātīgas programmatūras iekšējo kodu ar šifrēšanu.
• Koda ievadīšanas uzbrukuma paņēmiens : Mylobot palaiž pielāgotu kodu, lai uzbruktu sistēmai, inficējot procesus ar šo kodu, lai piekļūtu un traucētu regulāras darbības.
• Tukšs rokturis : uzbrucējs izveido jaunu procesu apturētā stāvoklī un pēc tam aizstāj to ar slēptu procesu.
• Atstarojoša EXE tehnika : palaidiet EXE failus no atmiņas, nevis no diska.
• Aizkaves mehānisms : ļaunprogrammatūra aizkavē 14 dienas pirms savienojuma izveides ar komandu un vadības serveri.

Mylobot veic dažādas metodes, lai paliktu paslēptas.

Pretsmilškastes, pretatkļūdošanas un pretvirtuālās mašīnas metodes mēģina novērst ļaunprātīgas programmatūras atklāšanu skenēšanas laikā, izmantojot pretļaunatūras programmatūru , kā arī neļauj drošības pētniekiem izolēt ļaunprātīgu programmatūru datorā. Virtuālā vai smilškastes vide analīzei un izpētei. .

Mylobot izmanto Reflective EXE, lai padarītu to vēl grūtāk atklāt, jo tas nedarbojas tieši uz diska, tāpēc to nevar analizēt ar pretvīrusu vai ļaunprātīgas programmatūras apkarošanas programmatūru.

"Tā koda struktūra ir ļoti sarežģīta, tā ir daudzpavedienu ļaunprātīga programmatūra, katrs pavediens ir atbildīgs par dažādu ļaunprātīgas programmatūras iespēju ieviešanu," ierakstā rakstīja Nipravskis. Un arī pieminēja: “Šī ļaunprogrammatūra satur trīs failu slāņus, kas ir ligzdoti viens otrā, kur katrs slānis ir atbildīgs par nākamā izpildi. Pēdējais slānis izmanto Reflective EXE tehniku.

Līdztekus pretanalīzes un pretatklāšanas paņēmieniem Mylobot var aizkavēt 14 dienas un pēc tam sazināties ar savu komandu un vadības serveri. Kad Mylobot izveido savienojumu, robottīkls izslēdz Windows Defender un Windows Update , kā arī aizver dažus Windows ugunsmūra portus.

Mylobot meklē un iznīcina cita veida ļaunprātīgu programmatūru

Viena no interesantajām un retajām šīs Mylobot ļaunprātīgās programmatūras iezīmēm ir tā, ka tai ir iespēja meklēt un iznīcināt citu ļaunprātīgu programmatūru. Atšķirībā no citām ļaunprātīgām programmām, Mylobot ir gatavs iznīcināt šāda veida ļaunprātīgu programmatūru, ja tāda ir sistēmā. Tas skenē sistēmas lietojumprogrammu datu mapi, lai atrastu izplatītus ļaunprātīgas programmatūras failus un mapes. Ja tas atradīs kādu konkrētu failu vai procesu, Mylobot to "nogalinās".

Tātad, ko tieši dara Mylobot?

Mylobot galvenā funkcija ir kontrolēt sistēmu, no kuras uzbrucējs var piekļūt tiešsaistes pieteikšanās informācijai, sistēmas failiem utt. Bojājuma līmenis ir atkarīgs no sistēmas uzbrucēja. Tas var nodarīt lielu kaitējumu, it īpaši, iekļūstot korporatīvajā vidē.

Mylobot ir saistīts arī ar citiem robottīkliem, piemēram, DorkBot, Ramdo un bēdīgi slaveno Locky tīklu. Ja Mylobot darbojas kā robottīklu un cita veida ļaunprātīgas programmatūras "vads", tad tā ir īsta katastrofa.

Kā cīnīties pret Mylobot

Sliktās ziņas ir tādas, ka Mylobot ir inficējis sistēmas vairāk nekā divus gadus. Tā komandu un kontroles serveris pirmo reizi tika atrasts 2015. gada novembrī. Mylobot ilgu laiku izvairījās no visiem citiem pētniekiem un drošības uzņēmumiem, pirms to atklāja Deep Instinct "dziļās mācīšanās" tīkla izpētes rīks.

Parastie pretvīrusu un ļaunprātīgas programmatūras apkarošanas rīki vismaz pagaidām nevar aizsargāt pret Mylobot. Tagad, kad Mylobot paraugs ir pieejams, daudzi pētnieki un drošības uzņēmumi var to izmantot, lai atrastu pasākumus pret šo ļaunprātīgo programmatūru.

Tikmēr jums vajadzētu iepazīties ar mūsu pretvīrusu un datoru drošības rīku sarakstu . Lai gan šie rīki nevar iznīcināt Mylobot, tie var apturēt citu ļaunprātīgu programmatūru. Turklāt varat skatīt rakstu Ļaunprātīgas programmatūras (ļaunprātīgas programmatūras) pilnīga noņemšana Windows 10 datoros .

Redzēt vairāk:

• 9 lietas, kas jādara, ja atklājat, ka jūsu dators ir inficēts ar ļaunprātīgu programmatūru
• Cik ļaunprātīgas programmatūras veidus jūs zināt un vai zināt, kā tos novērst?
• 10 tipiski ļaunprātīgas programmatūras veidi