Vad är Mylobot Malware? Hur det fungerar och vad man ska göra om det
Cybersecurity är en konstant slagmark. I 2017 upptäckte säkerhetsforskare cirka 23 000 nya malwareprover per dag (det är 795 per timme).
Medan den rubriken är chockerande visar det sig att majoriteten av dessa exemplar är varianter av samma malware-typ. De har bara lite annorlunda kod som varje skapar en “ny” signatur.
Men nu och då spränger en helt ny malware stam på scenen. Mylobot är ett sådant exempel: det är nytt, mycket sofistikerat och samlar fart.
Vad är Mylobot?
Mylobot är en malware för botnet Vad är en botnet och är din dator del av en? Vad är en Botnet och är din dator del av en? Botnets är en viktig källa till skadlig kod, ransomware, spam och mer. Men vad är botnet? Hur kommer de till liv? Vem styr dem? Och hur kan vi stoppa dem? Läs mer som packar en allvarlig mängd skadlig avsikt. Den nya malware först upptäcktes av Tom Nipravsky, en säkerhetsforskare för Deep Instinct, som säger “kombinationen och komplexiteten hos dessa tekniker sågs aldrig tidigare i det vilda.”
Denna malware kombinerar faktiskt ett brett spektrum av sofistikerade infektions- och obfuscationstekniker till en kraftfull förpackning. Ta en titt:
- Anti-virtuell maskin (VM) tekniker: Malware kontrollerar sin lokala miljö för tecken på en virtuell maskin och, om den hittas, inte körs.
- Anti-sandbox tekniker: Mycket liknar anti-VM-teknikerna.
- Anti-debugging tekniker: Stoppar en säkerhetsforskare på ett effektivt och effektivt sätt med ett malwareprov, genom att ändra beteendet i närvaro av vissa felsökningsprogram.
- Inpakning av interna delar med en krypterad resursfil: I huvudsak skyddar den skadliga kodens interna kod med kryptering.
- Kodinjektionsteknik: Mylobot kör anpassad kod för att attackera systemet, injicera sin anpassade kod i systemprocesser för att få åtkomst och stör störning.
- Processhålning: En angripare skapar en ny process i ett suspenderat tillstånd och ersätter sedan den som ska döljas.
- Reflekterande EXE: EXE-filen körs från minne istället för disk.
- Fördröjningsmekanism: Malware ligger vilande i 14 dagar innan du ansluter till kommando- och kontrollservrar.
Mylobot lägger mycket ansträngning på att hålla sig dold.
Anti-sandboxing, anti-debugging och anti-VM-tekniken försöker stoppa malware som visas i antimalware-skanningar, samt förhindra att forskare isolerar malware på en virtuell maskin eller sandlåda miljö för analys.
Den reflekterande körbarheten gör Mylobot ännu mer odetekterbar eftersom det inte finns någon direktdiskaktivitet för din antivirus eller antimalware-svit för att analysera.
Mylobot's Evasive Maneuvers
Enligt vad Nipravsky berättade Threatpost:
“Kodens struktur är väldigt komplex - det är en multi-threaded malware där varje tråd är ansvarig för att implementera olika möjligheter för malware.”
Och:
“Malware innehåller tre lager av filer, nestade på varandra, där varje lager ansvarar för att utföra nästa. Det sista laget använder [Reflective EXE] -tekniken.”
Tillsammans med antianalys- och antidetekteringsteknikerna kan Mylobot vänta upp till 14 dagar innan man försöker upprätta kommunikation med sina kommando- och kontrollservrar.
När Mylobot etablerar en anslutning stängs botnet Windows Defender och Windows Update samt stänger ett antal Windows-brandvägsportar 7 De bästa brandväggsprogrammen för att överväga datorns säkerhet 7 De bästa brandväggsprogrammen för att överväga datorns säkerhet Brandväggar är avgörande för modern datasäkerhet. Här är dina bästa alternativ och vilken är rätt för dig. Läs mer .
Mylobot söker och dödar andra malware typer
En av de mest intressanta och sällsynta funktionerna i Mylobot malware är dess sök-och-förstör funktion.
Till skillnad från annan skadlig kod kommer Mylobot redo att utrota andra typer av skadlig kod redan på målsystemet. Mylobot skannar systemapplikationsmapparna för vanliga malwarefiler och mappar, och om det hittar en viss fil eller process, avslutar Mylobot det.
Nipravsky anser att det finns ett par skäl till denna sällsynta och hyper-aggressiva malwareaktivitet. Ransomware-as-a-Service kommer att leda till ransomware-as-a-service och andra betal-till-spel-skadliga program. Ransomware-as-a-Service kommer att ge kaos till alla Ransomware-as-a-Service kommer att ge kaos till alla Ransomware rinner från sina rötter som verktyg för brottslingar och manfaktorer till en oroväckande serviceindustri, där någon kan prenumerera på en ransomware-tjänst och målanvändare som du och jag. Läs mer Varianter har väsentligt sänkt barriären för att bli en cyberkriminell. Några fullföljande ransomware och exploits kit finns gratis som en del av affiliate program (särskilt Saturn ransomware).
Dessutom kan priset för att hyra en kraftfull botnät falla extremt låg med en tillräckligt stor order medan andra har annonserat dagskurser för endast tiotals dollar.
Den lätta åtkomsten är inkräktande på etablerad cyberbrottaktivitet.
“Attackers tävlar mot varandra för att ha så många "zombie-datorer" som möjligt för att öka sitt värde när de föreslår tjänster till andra angripare, särskilt när det gäller att sprida infrastrukturer.”
Som ett resultat är det en slags dramatisk eskalering av malwarefunktionalitet att sprida sig längre, varar längre och skörda mer lönsamma belöningar.
Vad gör Mylobot, exakt?
Mylobots huvudsakliga funktionalitet är att utsätta kontrollen över systemet för attacken. Därifrån har angriparen tillgång till onlineuppgifter, systemfiler och mycket mer.
Den verkliga skaden är slutligen beslutet av den som angriper systemet. Malware med förmåga hos Mylobot kan enkelt leda till massiv skada, speciellt när den finns i företagsmiljön.
Mylobot har också länkar till andra botnät, inklusive DorkBot, Ramdo och det ökända Locky-nätverket. Om Mylobot fungerar som en ledning för andra botnät och malware typer, kommer alla som faller fel på denna malware att ha en riktigt dålig tid:
“Det faktum att botnet beter sig som en grind för ytterligare nyttolast gör att företaget riskerar att läcka känsliga data också, med risken för keyloggers / bank trojaner installationer.”
Hur håller du dig säker mot Mylobot??
Tja, här är de dåliga nyheterna: Mylobot antas ha infekterat system aktivt i över två år vid denna tidpunkt. Dess kommando- och kontrollservrar först användes i november 2015.
Så, Mylobot verkar ha dodged alla andra säkerhetsforskare och företag för en tid innan de körde in i Deep Instincts djupa inlärningsverktyg för cyberforskning.
Tyvärr kommer dina vanliga antivirus- och antimalwareverktyg inte att välja något som Mylobot upp, för närvarande, åtminstone.
Nu när det finns ett Mylobot-prov kan fler säkerhetsföretag och forskare använda signaturen. I sin tur kommer de att hålla mycket närmare flikar på Mylobot.
Under tiden måste du kolla in vår lista över de bästa antivirusverktygen för dator och säkerhet! Medan ditt vanliga antivirusprogram eller antimalware kanske inte hämtar på Mylobot finns det en hel del andra skadliga program där ute det kommer definitivt att sluta.
Om emellertid det är för sent för dig och du redan är orolig för en infektion, kolla in vår fullständiga guide till borttagning av skadlig kod. Den fullständiga malwareavlägsningsguiden Den fullständiga Malware Removal Guide Malware är överallt dessa dagar, och att utrota malware från ditt system är en lång process, kräver vägledning. Om du tror att din dator är infekterad, så är det den guide du behöver. Läs mer . Det hjälper dig och ditt system att övervinna den stora majoriteten av skadlig programvara, och börjar vidta åtgärder för att förhindra att det händer igen.
Utforska mer om: Datorsäkerhet, skadlig kod.