网络安全是一个持续的战场。 2017年,安全研究人员每天发现约23,000个新的恶意软件标本(每小时795个)。
虽然标题令人震惊,但事实证明,这些标本中的大多数都是同一恶意软件类型的变体。它们只是略有不同的代码,每个代码都会创建一个“新"签名。
尽管如此,每时每刻,真正的新恶意软件都会爆发。 Mylobot就是一个这样的例子:它是新的,高度复杂的,并且势头强劲。
什么是Mylobot?
Mylobot是一种僵尸网络恶意软件,其中包含大量恶意意图。 Deep Instinct的安全研究人员Tom Nipravsky首先发现了这种新恶意软件,他说:“以前从未在野外发现过这些技术的组合和复杂性。"
该恶意软件确实确实将多种恶意软件组合在一起。范围广泛的复杂感染和混淆技术组合成有效包装。看看:
Mylobot努力保持隐藏状态。
反沙箱,反调试和反虚拟机技术试图阻止恶意软件在反恶意软件扫描以及防止研究人员隔离虚拟机或沙盒环境中的恶意软件进行分析。
反射性可执行文件使Mylobot更加难以检测,因为没有直接的磁盘活动可供您的防病毒或反恶意软件套件进行分析。
Mylobot的逃避策略
根据Nipravsky告诉Threatpost的内容:
“代码本身的结构非常复杂-它是一个多线程恶意软件,每个线程都在其中
和:
“该恶意软件包含三层文件,它们嵌套彼此之间,每层负责执行下一层。最后一层使用[Reflective EXE]技术。
随着抗分析和抗检测技术的发展,Mylobot最多可以等待14天,然后才能尝试与其命令和控制服务器建立通信
当Mylobot确实建立连接时,僵尸网络将关闭Windows Defender和Windows Update,并关闭许多Windows防火墙端口。
Mylobot会发现并杀死其他恶意软件类型
Mylobot恶意软件最有趣且稀有的功能之一就是其搜索和破坏功能。
与其他恶意软件不同,Mylobot可以根除其他类型的恶意软件已经在目标系统上。 Mylobot扫描系统Application Data文件夹中的常见恶意软件文件和文件夹,如果找到了某个文件或进程,则Mylobot终止该文件或进程。
Nipravsky认为,这种罕见且过于激进的原因有两个恶意软件活动。勒索软件即服务和其他按需付费的恶意软件变种的兴起大大降低了成为网络犯罪分子的障碍。作为附属程序的一部分,可以免费提供一些功能齐全的勒索软件和漏洞利用工具包(特别是Saturn勒索软件)。
此外,如果订购足够多的僵尸网络,价格可能会降低得非常低。
“便捷性正在侵蚀已建立的网络犯罪活动。"
“攻击者相互竞争,拥有尽可能多的僵尸计算机,以便在向其他攻击者提供服务时,尤其是在扩展基础架构时,提高其价值。"
结果是,恶意软件的功能正在急剧升级
Mylobot的确切功能是什么?
Mylobot的主要功能是将系统的控制权暴露给攻击者。攻击者可以从那里访问在线凭据,系统文件等。
真正的损害最终是由攻击系统的人决定的。具有Mylobot功能的恶意软件很容易导致大规模破坏,尤其是在企业环境中发现时。
Mylobot还具有到其他僵尸网络的链接,包括DorkBot,Ramdo和臭名昭著的Locky网络。如果Mylobot充当其他僵尸网络和恶意软件类型的管道,那么任何犯有该恶意软件的人将经历一段非常糟糕的时光:
“僵尸网络充当了额外负载的大门" ,这也使企业也面临着安装键盘记录器/银行木马的风险,也有泄露敏感数据的风险。"
如何安全防范Mylobot?
嗯,这是坏消息:目前,Mylobot一直在积极感染系统超过两年。其命令和控制服务器于2015年11月首次投入使用。
因此,Mylobot在进入Deep Instinct的深度学习网络研究工具之前似乎已经躲过了所有其他安全研究人员和公司。
不幸的是,至少在目前,您常规的防病毒和反恶意软件工具不会像Mylobot那样流行。
现在有了Mylobot示例,可以提高安全性公司和研究人员可以使用签名。反过来,他们会在Mylobot上保持更紧密的标签。
与此同时,您需要查看我们最好的计算机和安全防病毒工具列表!尽管您的常规防病毒软件或反恶意软件可能无法在Mylobot上接收,但还有很多其他恶意软件肯定会停止。
但是,如果对于您和其他人来说太迟了如果您已经担心感染,请查看我们的完整恶意软件删除指南。它可以帮助您和您的系统克服绝大多数恶意软件,并开始采取措施防止其再次发生。
详细了解:计算机安全,恶意软件。
标签:
