Kaj je Mylobot in kako deluje ta zlonamerna programska oprema?

Leta 2017 so varnostni raziskovalci vsak dan odkrili približno 23.000 vzorcev zlonamerne programske opreme, kar je približno 795 kosov zlonamerne programske opreme, proizvedene vsako uro. Sliši se grozno, a v resnici je večina teh vzorcev različic obstoječe zlonamerne programske opreme, le uporablja drugačno kodo za ustvarjanje "novega" podpisa. Pred kratkim pa se je pojavila nova, zelo izpopolnjena zlonamerna programska oprema, imenovana Mylobot.

Kaj je Mylobot?

Mylobot je zlonamerna programska oprema botneta , ki vsebuje veliko število zlonamernih namenov. Tom Nipravsky, varnostni raziskovalec za Deep Instinct, je prvi odkril to zlonamerno programsko opremo.

Ta zlonamerna programska oprema združuje niz zapletenih tehnik okužbe in zakrivanja v enem zmogljivem paketu. Tukaj so tehnike, uporabljene v Mylobotu:

• Tehnika protinavideznega stroja (VM) : ta zlonamerna programska oprema preiskuje računalniško okolje za znake uporabe navideznega stroja . Če se najde kakršen koli znak, da uporabnik uporablja virtualni stroj, se ta ne bo zagnal.
• Tehnike proti peskovniku : zelo podobne tehnikam proti virtualnim strojem.

Glej več: 7 najboljših aplikacij Sandbox za Windows 10

• Tehnike za odpravljanje napak : Preprečite varnostnim raziskovalcem, da bi učinkovito delali na vzorcu zlonamerne programske opreme, tako da spremenite vedenje določenega programa za odpravljanje napak.
• Notranjost ovijte s šifrirano datoteko virov : zaščitite notranjo kodo zlonamerne programske opreme s šifriranjem.
• Tehnika napada z vbrizgavanjem kode : Mylobot zažene kodo po meri za napad na sistem in s to kodo okuži procese za dostop in motnje rednih operacij.
• Prazen ročaj : Napadalec ustvari nov proces v začasno ustavljenem stanju, nato pa ga nadomesti s skritim procesom.
• Tehnika Reflective EXE : Zaženite datoteke EXE iz pomnilnika namesto na pogonu.
• Mehanizem zakasnitve : Zlonamerna programska oprema zamuja 14 dni, preden se poveže s strežnikom za ukaze in nadzor.

Mylobot uporablja različne tehnike, da ostane skrit.

Tehnike proti peskovniku, odpravljanju napak in proti virtualnim strojem poskušajo preprečiti odkrivanje zlonamerne programske opreme med pregledovanjem s programsko opremo proti zlonamerni programski opremi ter varnostnim raziskovalcem preprečiti, da bi osamili zlonamerno programsko opremo na računalniku. virtualno ali peskovniško okolje za analizo in raziskovanje .

Mylobot uporablja Reflective EXE, da ga še težje zazna, ker ne deluje neposredno na pogonu, zato ga ni mogoče analizirati s protivirusno ali protizlonamerno programsko opremo.

"Njegova struktura kode je zelo zapletena, to je večnitna zlonamerna programska oprema, vsaka nit je odgovorna za izvajanje različnih zmogljivosti zlonamerne programske opreme," je zapisal Nipravsky v objavi. In tudi omenjeno: »Ta zlonamerna programska oprema vsebuje tri plasti datotek, ugnezdenih druga v drugo, kjer je vsaka plast odgovorna za izvajanje naslednje. Končni sloj uporablja tehniko Reflective EXE".

Skupaj s tehnikami za preprečevanje analize in zaznavanja lahko Mylobot odloži za 14 dni, nato pa vzpostavi stik s svojim ukaznim in nadzornim strežnikom. Ko Mylobot vzpostavi povezavo, botnet izklopi Windows Defender in Windows Update ter zapre nekatera vrata požarnega zidu Windows.

Mylobot išče in ubija druge vrste zlonamerne programske opreme

Ena od zanimivih in redkih lastnosti te zlonamerne programske opreme Mylobot je, da ima možnost iskanja in uničenja druge zlonamerne programske opreme. Za razliko od druge zlonamerne programske opreme je Mylobot pripravljen uničiti te vrste zlonamerne programske opreme, če je prisotna v sistemu. Pregleduje sistemsko mapo Application Data za pogoste datoteke in mape zlonamerne programske opreme. Če najde določeno datoteko ali proces, jo bo Mylobot "ubil".

Torej, kaj točno počne Mylobot?

Glavna funkcija Mylobota je nadzor nad sistemom, iz katerega ima napadalec dostop do spletnih podatkov za prijavo, sistemskih datotek itd. Stopnja škode je odvisna od napadalca na sistem. Lahko povzroči veliko škodo, zlasti če prodre v poslovno okolje.

Mylobot je povezan tudi z drugimi botneti, kot so DorkBot, Ramdo in zloglasno omrežje Locky. Če Mylobot deluje kot "vodnik" za botnete in druge vrste zlonamerne programske opreme, potem je to prava katastrofa.

Kako se zoperstaviti Mylobotu

Slaba novica je, da Mylobot sisteme okužuje že več kot dve leti. Njegov ukazni in nadzorni strežnik je bil prvič najden novembra 2015. Mylobot se je dolgo izogibal vsem drugim raziskovalcem in varnostnim podjetjem, preden ga je odkrilo orodje za raziskovanje omrežij Deep Instinct za "globoko učenje".

Običajna protivirusna in protizlonamerna programska orodja vsaj zaenkrat ne morejo zaščititi pred Mylobotom. Zdaj, ko je na voljo vzorec Mylobot, ga lahko številni raziskovalci in varnostna podjetja uporabijo za iskanje ukrepov proti tej zlonamerni programski opremi.

Medtem si oglejte naš seznam protivirusnih in računalniških varnostnih orodij . Čeprav ta orodja ne morejo uničiti Mylobota, lahko zaustavijo drugo zlonamerno programsko opremo. Poleg tega si lahko ogledate članek Popolnoma odstranite zlonamerno programsko opremo (malware) v računalnikih z operacijskim sistemom Windows 10 .

Poglej več:

• 9 stvari, ki jih morate storiti, ko odkrijete, da je vaš računalnik okužen z zlonamerno programsko opremo
• Koliko vrst zlonamerne programske opreme poznate in ali veste, kako jih preprečiti?
• 10 tipičnih vrst zlonamerne programske opreme