Hva er Mylobot Malware? Slik fungerer det og hva du skal gjøre om det
Cybersecurity er en konstant slagmark. I 2017 oppdaget sikkerhetsforskere 23.000 nye malware-eksemplarer per dag (det er 795 per time).
Mens overskriften er sjokkerende, viser det seg at flertallet av disse prøvene er varianter av samme type malware. De har bare litt forskjellig kode som hver skaper en “ny” signatur.
Men nå og da, en virkelig ny malware stamme brister på scenen. Mylobot er et slikt eksempel: det er nytt, svært sofistikert, og samler fart.
Hva er Mylobot?
Mylobot er en malware for botnet Hva er en Botnet og er datamaskinen din del av en? Hva er en Botnet og er datamaskinen din del av en? Botnets er en stor kilde til skadelig programvare, ransomware, spam og mer. Men hva er en botnet? Hvordan kommer de til virkelighet? Hvem styrer dem? Og hvordan kan vi stoppe dem? Les mer som pakker en seriøs mengde ondsinnet hensikt. Den nye malware ble først oppdaget av Tom Nipravsky, en sikkerhetsforsker for Deep Instinct, som sier “kombinasjonen og kompleksiteten til disse teknikkene ble aldri sett i naturen før.”
Denne malware kombinerer faktisk et bredt spekter av sofistikerte infeksjon og obfuscation teknikker til en kraftig pakke. Ta en titt:
- Anti-virtuell maskin (VM) teknikker: Malware kontrollerer sitt lokale miljø for tegn på en virtuell maskin, og hvis den ikke finnes, kjører den ikke.
- Anti-sandbox teknikker: Svært lik anti-VM teknikkene.
- Anti-debugging teknikker: Stopper en sikkerhetsforsker på en effektiv og effektiv måte å arbeide med et malware-utvalg, ved å endre atferd i nærvær av visse feilsøkingsprogrammer.
- Innpakning av interne deler med en kryptert ressursfil: Vesentlig ytterligere å beskytte den interne koden til malware med kryptering.
- Kode injeksjon teknikker: Mylobot kjører tilpasset kode for å angripe systemet, injisere sin egendefinerte kode i systemprosesser for å få tilgang og forstyrre vanlig drift.
- Prosesshulling: En angriper oppretter en ny prosess i suspendert tilstand, og erstatter deretter den som skal skjules.
- Reflekterende EXE: EXE-filen kjøres fra minne i stedet for disk.
- Forsinkingsmekanisme: Malware ligger dvalende i 14 dager før du kobler til kommando- og kontrollservere.
Mylobot legger stor vekt på å bli skjult.
Anti-sandboxing, anti-debugging og anti-VM teknikker forsøker å stoppe malware som vises i antimalware-skanninger, samt hindre forskere i å isolere skadelig programvare på en virtuell maskin eller sandkassert miljø for analyse.
Den reflekterende kjørbare gjør Mylobot enda mer uoppdagelig, da det ikke er direkte diskaktivitet for antivirusprogrammet eller antimalware-pakken for å analysere.
Mylobot's Evasive Maneuvers
Ifølge hva Nipravsky fortalte Threatpost:
“Kodenes struktur er veldig kompleks - det er en multi-threaded malware hvor hver tråd er ansvarlig for å implementere forskjellig evne til malware.”
Og:
“Malware inneholder tre lag med filer, nestet på hverandre, hvor hvert lag har ansvaret for å utføre den neste. Det siste laget bruker [Reflective EXE] -teknikken.”
Sammen med anti-analyse og anti-deteksjonsteknikker, kan Mylobot vente opptil 14 dager før du forsøker å etablere kommunikasjon med sine kommando- og kontrollservere.
Når Mylobot etablerer en tilkobling, slår botnet Windows Defender og Windows Update ned, samt lukker en rekke Windows-brannmurporter. 7 Fire brannmurprogrammer for å overveie datamaskinens sikkerhet 7 Fire brannmurprogrammer for å vurdere datamaskinens sikkerhet Brannmurer er avgjørende for moderne datasikkerhet. Her er dine beste alternativer og hvilken som passer best for deg. Les mer .
Mylobot søker og dræper andre malware typer
En av de mest interessante og sjeldne funksjonene til Mylobot malware er dens søk-og-ødelegge funksjon.
I motsetning til annen malware kommer Mylobot klar til å utrydde andre typer malware allerede på målsystemet. Mylobot skanner systemapplikasjonsmappene for vanlige malwarefiler og mapper, og hvis det finner en bestemt fil eller prosess, avslutter Mylobot det.
Nipravsky mener det er et par grunner til denne sjeldne og hyper-aggressive malwareaktiviteten. Oppstart av ransomware-as-a-service og annen betal-til-spill-skadelig programvare Ransomware-as-a-Service vil bringe kaos til alle Ransomware-as-a-Service vil bringe kaos til alle Ransomware beveger seg fra sine røtter som verktøy for kriminelle og mannfaktorer i en bekymringsløs tjenesteindustri, hvor alle kan abonnere på en ransomware-tjeneste og målrette brukere som deg og meg. Les mer Varianter har betydelig senket barrieren for å bli en cyberkriminell. Noen fullverdige ransomware- og utnyttelsessett er tilgjengelig gratis som en del av tilknyttede programmer (spesielt Saturn ransomware).
Videre kan prisen for å ansette en kraftig botnet falle ekstremt lav med en stor nok rekkefølge mens andre har annonsert dagskurs for bare titalls dollar.
Den enkle tilgangen er innblandet i etablerte nettkriminalitetsaktivitet.
“Angripere konkurrerer mot hverandre for å få så mange "zombie-datamaskiner" som mulig for å øke verdien når de foreslår tjenester til andre angripere, særlig når det gjelder å spre infrastrukturer.”
Som et resultat er det en slags dramatisk eskalering av skadelig programvare for å spre seg lenger, vare lenger og høste mer lønnsomme belønninger.
Hva gjør Mylobot, akkurat?
Mylobots hovedfunksjonalitet er å utsette kontrollen over systemet til angriperen. Derfra har angriperen tilgang til online legitimasjon, systemfiler og mye mer.
Den virkelige skaden er i siste instans avgjørelsen til den som angriper systemet. Malware med funksjoner i Mylobot kan lett føre til massiv skade, spesielt når det er funnet i bedriftsmiljøet.
Mylobot har også lenker til andre botneter, inkludert DorkBot, Ramdo, og det beryktede Locky-nettverket. Hvis Mylobot fungerer som en kanal for andre botnets og malware-typer, vil alle som faller feil av denne malware, ha en veldig dårlig tid:
“Det faktum at botnet oppfører seg som en port for ekstra nyttelast, setter også virksomheten i fare for lekkasje av sensitive data, ettersom risikoen for keyloggers / bank trojaner installasjoner.”
Hvordan forblir du trygg mot Mylobot?
Vel, her er de dårlige nyhetene: Mylobot antas å ha vært smittet aktivt i over to år på dette tidspunktet. Dens kommando-og-kontroll servere først så bruk i november 2015.
Så Mylobot ser ut til å ha dodged alle andre sikkerhetsforskere og bedrifter for en stund før de kjører inn i Deep Instincts dype læringsverktøy for nettforskning..
Dessverre, dine vanlige antivirus- og antimalware-verktøy kommer ikke til å plukke noe som Mylobot opp, for tiden, i det minste.
Nå som det er en Mylobot-prøve, kan flere sikkerhetsfirmaer og forskere bruke signaturen. I sin tur vil de holde mye nærmere tapper på Mylobot.
I mellomtiden må du sjekke ut vår liste over de beste verktøyene for datamaskin og sikkerhet antivirusprogrammer! Selv om vanlig antivirus eller antimalware kanskje ikke henter på Mylobot, er det en forferdelig masse annen malware der ute det vil definitivt stoppe.
Men hvis det er for sent for deg og du allerede er bekymret for en infeksjon, sjekk ut vår komplette guide til fjerning av skadelig programvare. Den komplette malware-fjerningsveiledningen. Malware-fjerningshandboken Malware er overalt i disse dager, og utrydding av skadelig programvare fra systemet ditt er en langvarig prosess, som krever veiledning. Hvis du tror at datamaskinen er infisert, er dette den guiden du trenger. Les mer . Det vil hjelpe deg og systemet ditt å overvinne det store flertallet av skadelig programvare, samt begynne å ta skritt for å forhindre at det skjer igjen.
Utforsk mer om: Datasikkerhet, skadelig programvare.