Содержание
Кибербезопасность — это постоянное поле битвы. В 2017 году исследователи безопасности обнаружили около 23 000 новых образцов вредоносного ПО в день (это 795 в час).
Хотя этот заголовок шокирует, оказывается, что большинство этих образцов являются вариантами одного и того же типа вредоносного ПО. У них просто немного другой код, каждый из которых создает «новую» подпись.
Время от времени, тем не менее, на сцену вырывается действительно новый штамм вредоносных программ. Mylobot является одним из таких примеров: это новый, очень сложный и набирающий обороты.
Что такое Mylobot?
Mylobot — вредоносная программа для ботнетов
это содержит серьезное количество злонамеренных намерений. Новое вредоносное ПО было впервые обнаружено Томом Ниправски, исследователем безопасности Deep Instinct, который говорит, что «комбинация и сложность этих методов никогда не встречались в дикой природе».
Это вредоносное ПО действительно объединяет широкий спектр сложных методов заражения и обфускации в мощный пакет. Взглянуть:
- Методы анти-виртуальной машины (ВМ): Вредоносная программа проверяет свою локальную среду на наличие признаков виртуальной машины, и в случае ее обнаружения не работает.
- Методы против песочницы: Очень похоже на методы анти-VM.
- Методы антиотладки: Останавливает исследователь безопасности эффективно и эффективно работает над образцом вредоносного ПО, изменяя поведение в присутствии определенных программ отладки.
- Обтекание внутренних частей зашифрованным файлом ресурсов: По сути, дальнейшая защита внутреннего кода вредоносного ПО с помощью шифрования.
- Методы внедрения кода: Mylobot запускает пользовательский код для атаки на систему, внедряя свой пользовательский код в системные процессы, чтобы получить доступ и нарушить обычную работу.
- Процесс долбления: Злоумышленник создает новый процесс в приостановленном состоянии, а затем заменяет тот, который должен быть скрыт.
- Светоотражающий EXE: EXE-файл выполняется из памяти, а не с диска.
- Механизм задержки: Вредоносная программа бездействует в течение 14 дней, прежде чем подключиться к серверам управления и контроля.
Mylobot прилагает много усилий, чтобы оставаться скрытым.
Методы анти-песочницы, анти-отладки и анти-VM пытаются остановить вредоносное ПО, появляющееся при сканировании на наличие вредоносного ПО, а также не позволяют исследователям изолировать вредоносное ПО на виртуальной машине или в изолированной среде для анализа.
Рефлексивный исполняемый файл делает Mylobot еще более необнаружимым, так как нет никакого прямого действия с диском для анализа вашего антивируса или пакета защиты от вредоносных программ.
Уклончивые маневры Милобота
Согласно тому, что Ниправский сказал Threatpost:
«Структура самого кода очень сложна — это многопоточное вредоносное ПО, в котором каждый поток отвечает за реализацию различных возможностей вредоносного ПО».
А также:
«Вредонос содержит три слоя файлов, вложенных друг в друга, где каждый слой отвечает за выполнение следующего. Последний слой использует технику [Reflective EXE]. »
Наряду с методами анализа и обнаружения Mylobot может подождать до 14 дней, прежде чем попытаться установить связь со своими серверами управления и контроля.
Когда Mylobot устанавливает соединение, ботнет закрывает Защитник Windows и Центр обновления Windows, а также закрывает несколько портов брандмауэра Windows
,
Mylobot ищет и убивает другие типы вредоносных программ
Одной из самых интересных и редких функций вредоносного ПО Mylobot является функция поиска и уничтожения.
В отличие от других вредоносных программ, Mylobot готов уничтожить другие типы вредоносных программ, уже находящихся в целевой системе. Mylobot сканирует системные папки Application Data на наличие общих вредоносных файлов и папок, и, если он находит определенный файл или процесс, Mylobot завершает его.
Ниправский считает, что есть несколько причин для этой редкой и сверхагрессивной активности вредоносного ПО. Рост вымогателей как услуга и других платных вредоносных программ
варианты значительно снизили барьер, чтобы стать киберпреступником. Некоторые полнофункциональные вымогатели и комплекты эксплойтов доступны бесплатно в рамках партнерских программ (в частности, вымогателей Saturn).
Кроме того, цена найма мощного ботнета может упасть очень низко при достаточно большом заказе, в то время как другие рекламируют дневные тарифы всего за десятки долларов.
Легкость доступа вторгается в сложившуюся киберпреступность.
«Злоумышленники конкурируют друг с другом, чтобы иметь как можно больше« компьютеров-зомби », чтобы повысить их ценность, предлагая услуги другим злоумышленникам, особенно когда речь идет о распространении инфраструктуры».
В результате происходит своего рода резкая эскалация функциональности вредоносных программ, которая распространяется дальше, длится дольше и получает более выгодные вознаграждения.
Что делает Mylobot, точно?
Основной функцией Mylobot является предоставление контроля над системой атакующему. Оттуда злоумышленник получает доступ к учетным данным, системным файлам и многому другому.
Настоящий ущерб в конечном итоге зависит от того, кто атакует систему. Вредоносные программы с возможностями Mylobot могут легко привести к серьезным повреждениям, особенно при обнаружении в корпоративной среде.
Mylobot также имеет ссылки на другие бот-сети, включая DorkBot, Ramdo и печально известную сеть Locky. Если Mylobot выступает в роли канала для других ботнетов и типов вредоносных программ, у любого, кто не справится с этой вредоносной программой, будет действительно плохое время:
«Тот факт, что ботнет ведет себя как ворота для дополнительных полезных нагрузок, подвергает предприятие риску утечки конфиденциальных данных, а также риску установки кейлоггеров / банковских троянов».
Как вы остаетесь в безопасности от Mylobot?
Что ж, вот плохие новости: считается, что Mylobot активно заражает системы уже более двух лет. Его командно-контрольные серверы впервые появились в ноябре 2015 года.
Таким образом, Mylobot, по-видимому, довольно долго уклонялся от всех других исследователей и фирм, занимающихся вопросами безопасности, прежде чем приступить к использованию инструментов глубокого обучения кибер-исследований Deep Instinct.
К сожалению, ваши обычные антивирусные и вредоносные инструменты не собираются поднимать что-то вроде Mylobot — по крайней мере, пока.
Теперь, когда есть образец Mylobot, подпись могут использовать все больше охранных фирм и исследователей. В свою очередь, они будут намного ближе следить за Mylobot.
А пока вам нужно ознакомиться с нашим списком лучших антивирусных программ для компьютеров и безопасности! Несмотря на то, что ваш обычный антивирус или вредоносное ПО может не сработать на Mylobot, существует множество других вредоносных программ. это точно остановит.
Однако, если для вас уже слишком поздно и вы уже беспокоитесь о заражении, ознакомьтесь с нашим полным руководством по удалению вредоносных программ.
, Это поможет вам и вашей системе справиться с подавляющим большинством вредоносных программ, а также начнет предпринимать шаги, чтобы предотвратить его повторение.
