Hva er Mylobot og hvordan fungerer denne skadelige programvaren?

Hva er Mylobot og hvordan fungerer denne skadelige programvaren?

I 2017 oppdaget sikkerhetsforskere rundt 23 000 prøver av skadelig programvare hver dag, som er omtrent 795 stykker skadelig programvare produsert hver time. Det høres forferdelig ut, men faktisk er flertallet av disse prøvene varianter av eksisterende skadelig programvare, den bruker bare annen kode for å lage en "ny" signatur. Imidlertid har det nylig dukket opp en ny, veldig sofistikert del av skadelig programvare kalt Mylobot.

Hva er Mylobot?

Mylobot er en botnet malware som inneholder et stort antall ondsinnede hensikter. Tom Nipravsky, en sikkerhetsforsker for Deep Instinct, var den første som oppdaget denne skadelige programvaren.

Hva er Mylobot og hvordan fungerer denne skadelige programvaren?

Denne skadelige programvaren kombinerer en rekke komplekse infeksjons- og tilsløringsteknikker i én kraftig pakke. Her er teknikkene som brukes i Mylobot:

  • Anti-virtuell maskin (VM)-teknikk : Denne skadelige programvaren undersøker datamaskinmiljøet for tegn på bruk av virtuell maskin . Hvis det blir funnet noen indikasjon på at brukeren bruker en virtuell maskin, vil den ikke kjøre.
  • Anti-sandbox-teknikker : Svært lik anti-virtuelle maskinteknikker.

Se mer: 7 beste Sandbox-applikasjoner for Windows 10

  • Anti-feilsøkingsteknikker : Hindre sikkerhetsforskere fra effektivt å jobbe med en prøve av skadelig programvare ved å endre oppførselen til et bestemt feilsøkingsprogram.
  • Pakk inn det interne med en kryptert ressursfil : Beskytt skadevarens interne kode med kryptering.
  • Angrepsteknikk for kodeinjeksjon : Mylobot kjører tilpasset kode for å angripe systemet, og infiserer prosesser med denne koden for å få tilgang til og forstyrre vanlige operasjoner.
  • Tomt håndtak : Angriperen oppretter en ny prosess i suspendert tilstand, og erstatter den deretter med en skjult prosess.
  • Reflekterende EXE-teknikk : Kjør EXE-filer fra minnet i stedet for på stasjonen.
  • Forsinkelsesmekanisme : Skadevaren forsinkes 14 dager før den kobles til kommando- og kontrollserveren.

Mylobot utfører en rekke teknikker for å holde seg skjult.

Anti-sandbox, anti-debug og anti-virtuelle maskinteknikker forsøker å forhindre skadelig programvare fra å bli oppdaget under skanning med anti-malware-programvare , samt hindre sikkerhetsforskere fra å isolere skadelig programvare på en maskin. virtuelt eller sandkassemiljø for analyse og forskning .

Mylobot bruker Reflective EXE for å gjøre det enda vanskeligere å oppdage fordi det ikke fungerer direkte på stasjonen, så det kan ikke analyseres av anti-virus eller anti-malware programvare.

"Kodestrukturen er veldig kompleks, dette er en flertråds skadelig programvare, hver tråd er ansvarlig for å implementere forskjellige muligheter for skadelig programvare," skrev Nipravsky i et innlegg. Og også nevnt: "Denne skadevare inneholder tre lag med filer, nestet i hverandre, hvor hvert lag er ansvarlig for å utføre det neste. Det siste laget bruker den reflekterende EXE-teknikken".

Sammen med anti-analyse og anti-deteksjonsteknikker, kan Mylobot utsette i 14 dager og deretter ta kontakt med sin kommando- og kontrollserver. Når Mylobot oppretter en tilkobling, slår botnettet av Windows Defender og Windows Update , samt lukker noen Windows-brannmurporter.

Mylobot søker etter og dreper andre typer skadelig programvare

En av de interessante og sjeldne funksjonene til denne Mylobot-malwaren er at den har muligheten til å søke etter og ødelegge annen skadelig programvare. I motsetning til annen skadelig programvare, er Mylobot klar til å ødelegge denne typen skadelig programvare hvis den finnes på systemet. Den skanner systemets Application Data-mappe for vanlige skadevarefiler og -mapper. Hvis den finner en spesifikk fil eller prosess, vil Mylobot "drepe" den.

Så hva gjør Mylobot egentlig?

Hovedfunksjonen til Mylobot er å kontrollere systemet, hvorfra angriperen har tilgang til online påloggingsinformasjon, systemfiler osv. Skadenivået avhenger av systemangriperen. Det kan forårsake stor skade, spesielt når det trenger inn i bedriftsmiljøet.

Mylobot er også knyttet til andre botnett som DorkBot, Ramdo og det beryktede Locky-nettverket. Hvis Mylobot fungerer som en "kanal" for botnett og andre typer skadelig programvare, så er dette en virkelig katastrofe.

Hvordan motvirke Mylobot

Den dårlige nyheten er at Mylobot har infisert systemer i mer enn to år. Kommando- og kontrollserveren ble først funnet i november 2015. Mylobot unngikk alle andre forskere og sikkerhetsselskaper i lang tid før de ble oppdaget av Deep Instincts "deep learning" nettverksforskningsverktøy.

Konvensjonelle antivirus- og anti-malware-verktøy kan ikke beskytte mot Mylobot i det minste foreløpig. Nå som en Mylobot-prøve er tilgjengelig, kan mange forskere og sikkerhetsselskaper bruke den til å finne tiltak mot denne skadelige programvaren.

I mellomtiden bør du sjekke listen vår over antivirus- og datasikkerhetsverktøy . Selv om disse verktøyene ikke kan ødelegge Mylobot, kan de stoppe annen skadelig programvare. I tillegg kan du se artikkelen Fjern ondsinnet programvare (skadelig programvare) fullstendig på Windows 10-datamaskiner .

Se mer:


Hva er FAT32, NTFS, exFAT-formater?

Hva er FAT32, NTFS, exFAT-formater?

NTFS, FAT32, exFAT er filsystemer på Windows, men spesifikt hva er NTFS, hva er FAT32, hva er exFAT, hva er likhetene og forskjellene deres? Vi inviterer leserne til å referere til denne artikkelen.

Lær om Telnet-protokollen

Lær om Telnet-protokollen

Telnet er en kommandolinjeprotokoll som brukes til å administrere ulike enheter som servere, PC-er, rutere, svitsjer, kameraer, brannmurer eksternt.

Hva er pålogging uten passord? Er det virkelig trygt?

Hva er pålogging uten passord? Er det virkelig trygt?

Hvis du ikke bruker et passord, hvordan vil du sikre kontoen din? Hva er passordløse pålogginger og er de trygge? La oss finne ut av det med Quantrimang.com gjennom følgende artikkel!

Hva er datakorrupsjon?

Hva er datakorrupsjon?

Når noen diskuterer å bevare sensitive data, vil du sannsynligvis høre begrepet "datakorrupsjon". Så hva er "datakorrupsjon" og hvordan kan du fikse filene dine hvis noe går galt?

Lær om Cloud Firewall

Lær om Cloud Firewall

Ettersom teknologien rundt oss utvikler seg, må brannmurer også bringes til skyen for å holde tritt med trenden. Det er derfor begrepet skybrannmur ble født.

Hva er kodesignert skadelig programvare og hvordan unngå det?

Hva er kodesignert skadelig programvare og hvordan unngå det?

Kodesignering er en metode for å bruke en sertifikatbasert digital signatur for et stykke programvare slik at operativsystemet og brukerne kan bestemme sikkerheten. Hva er kodesignert skadelig programvare og hvordan fungerer det?

13 grunner til at du bør bruke en VPN

13 grunner til at du bør bruke en VPN

Virtuelle private nettverk er rimelige, enkle å bruke og er en viktig komponent i datamaskin- og smarttelefonoppsett. Sammen med brannmuren og antivirus/anti-malware-løsningen din, bør du installere en VPN slik at hvert øyeblikk du bruker på nettet er helt privat.

Hva er Mylobot og hvordan fungerer denne skadelige programvaren?

Hva er Mylobot og hvordan fungerer denne skadelige programvaren?

I 2017 oppdaget sikkerhetsforskere rundt 23 000 prøver av skadelig programvare hver dag, som er omtrent 795 stykker skadelig programvare produsert hver time. Nylig dukket det opp et nytt, veldig sofistikert stykke skadelig programvare kalt Mylobot.

Lær om desibel (dB) i datanettverk

Lær om desibel (dB) i datanettverk

Desibel (dB) er en standard måleenhet som brukes til å måle styrken til kablede og trådløse nettverkssignaler.

Hva er Catalyst Control Center (CCC.exe)?

Hva er Catalyst Control Center (CCC.exe)?

Catalyst Control Center er et verktøy som følger med driveren, og hjelper AMD-skjermkort å fungere. Det vises som CCC.exe i brukerens oppgavebehandling, og i de fleste tilfeller trenger du aldri å bekymre deg for dette.