什麼是 Mylobot?該惡意軟體如何運作?

什麼是 Mylobot?該惡意軟體如何運作?

2017年,安全研究人員每天偵測到約23,000個惡意軟體樣本,相當於每小時產生約795個惡意軟體。聽起來很糟糕,但實際上這些樣本中的大多數都是現有惡意軟體的變體,它只是使用不同的程式碼來創建「新」簽名。然而,最近出現了一種新的、非常複雜的惡意軟體,稱為 Mylobot。

什麼是Mylobot?

Mylobot 是一種殭屍網路惡意軟體,包含大量惡意意圖。 Deep Instinct 的安全研究員 Tom Nipravsky 是第一個發現該惡意軟體的人。

什麼是 Mylobot?該惡意軟體如何運作?

該惡意軟體將一系列複雜的感染和混淆技術結合在一個強大的軟體包中。以下是 Mylobot 中使用的技術:

  • 反虛擬機器 (VM) 技術:此惡意軟體檢查電腦環境中是否有虛擬機器使用跡象。如果發現任何跡象表明使用者正在使用虛擬機,則該虛擬機將不會運作。
  • 反沙箱技術:與反虛擬機器技術非常相似。

查看更多:適用於 Windows 10 的 7 個最佳沙盒應用程式

  • 反調試技術:透過改變特定調試程式的行為,阻止安全研究人員有效地處理惡意軟體樣本。
  • 用加密的資源檔案包裹內部:透過加密保護惡意軟體的內部程式碼。
  • 程式碼注入攻擊技術:Mylobot 運行自訂程式碼來攻擊系統,用此程式碼感染進程來存取和破壞常規操作。
  • 空句柄:攻擊者建立一個處於掛起狀態的新進程,然後用隱藏進程取代它。
  • 反射 EXE 技術:從記憶體而不是驅動器上運行 EXE 檔案。
  • 延遲機制:惡意軟體延遲 14 天才連接到命令和控制伺服器。

Mylobot 執行多種技術來保持隱藏。

反沙箱、反調試和反虛擬機技術試圖防止在使用反惡意軟體軟體進行掃描時檢測到惡意軟體,並防止安全研究人員在機器上隔離惡意軟體。在虛擬或沙箱環境中進行分析和研究。

Mylobot 使用反射 EXE 使其更難檢測,因為它不會直接在驅動器上工作,因此無法透過防毒或反惡意軟體軟體進行分析。

「它的程式碼結構非常複雜,這是一個多線程惡意軟體,每個線程負責實現惡意軟體的不同功能,」尼普拉夫斯基在貼文中寫道。也提到:「該惡意軟體包含三層文件,相互嵌套,每一層負責執行下一層。最後一層使用反射 EXE 技術」。

加上反分析和反檢測技術,Mylobot 可以延遲 14 天,然後與其命令和控制伺服器取得聯繫。當 Mylobot 建立連線時,殭屍網路會關閉 Windows DefenderWindows Update,並關閉一些 Windows 防火牆連接埠。

Mylobot 搜尋並殺死其他類型的惡意軟體

Mylobot 惡意軟體的有趣且罕見的功能之一是它能夠搜尋並銷毀其他惡意軟體。與其他惡意軟體不同,Mylobot 已準備好銷毀系統上存在的此類惡意軟體。它掃描系統的應用程式資料資料夾中的常見惡意軟體檔案和資料夾。如果發現任何特定檔案或進程,Mylobot 就會「殺死」它。

那麼Mylobot到底是做什麼的呢?

Mylobot的主要功能是控制系統,攻擊者可以從中取得線上登入資訊、系統檔案等,破壞程度取決於系統攻擊者。它可能會造成巨大的損害,尤其是在滲透到企業環境時。

Mylobot 也與其他殭屍網路相關聯,例如 DorkBot、Ramdo 和臭名昭著的 Locky 網路。如果 Mylobot 充當殭屍網路和其他類型惡意軟體的“管道”,那麼這就是一場真正的災難。

如何對抗Mylobot

壞消息是 Mylobot 已經感染系統兩年多了。其命令和控制伺服器於 2015 年 11 月首次被發現。 Mylobot 在被 Deep Instinct 的「深度學習」網路研究工具發現之前很長一段時間都躲過了所有其他研究人員和安全公司的追捕。

傳統的防毒和反惡意軟體工具至少暫時無法防禦 Mylobot。現在 Mylobot 樣本已經可用,許多研究人員和安全公司可以使用它來尋找針對該惡意軟體的措施。

同時,您應該查看我們的防毒和電腦安全工具清單。雖然這些工具無法摧毀 Mylobot,但它們可以阻止其他惡意軟體。另外,您可以參考文章徹底刪除Windows 10電腦上的惡意軟體(malware)

看更多:


Android 的 One UI 是什麼?

Android 的 One UI 是什麼?

了解 One UI 的功能及其優勢,這是三星針對 Android 系統的客製化介面,旨在提升使用者體驗。

什麼是 Catalyst 控制中心 (CCC.exe)?

什麼是 Catalyst 控制中心 (CCC.exe)?

Catalyst Control Center 是驅動程式隨附的實用程序,可協助 AMD 顯示卡運作。了解 CCC.exe 的功能和重要性,並學習如何處理相關問題。

了解 Telnet 協議

了解 Telnet 協議

Telnet 是一種命令列協議,用於遠端管理伺服器、PC、路由器及其他設備,但存在安全性風險。了解 Telnet 使用和替代方案,提升遠端管理效率。

了解電腦網路中的分貝 (dB)

了解電腦網路中的分貝 (dB)

了解分貝 (dB) 在電腦網路中如何測量訊號強度,並了解其在無線網路中的應用。

您應該使用 VPN 的 13 個理由

您應該使用 VPN 的 13 個理由

虛擬專用網路價格實惠、易於使用,是電腦和智慧型手機設定的重要組成部分。除了防火牆和防毒/反惡意軟體解決方案之外,您還應該安裝 VPN,以便您上網的每一刻都是完全私密的。

什麼是資料損壞?

什麼是資料損壞?

當有人討論保留敏感資料時,您可能會聽到“資料損壞”一詞。那麼什麼是「資料損壞」?如果出現問題,該如何修復檔案?

什麼是程式碼簽署惡意軟體以及如何避免它?

什麼是程式碼簽署惡意軟體以及如何避免它?

程式碼簽章是一種對軟體使用基於憑證的數位簽章的方法,以便作業系統和使用者可以確定其安全性。什麼是程式碼簽署惡意軟體及其運作原理?

了解雲端防火牆

了解雲端防火牆

隨著我們周圍技術的發展,防火牆也需要遷移到雲端以跟上趨勢。這就是雲端防火牆一詞誕生的原因。

什麼是 Mylobot?該惡意軟體如何運作?

什麼是 Mylobot?該惡意軟體如何運作?

2017年,安全研究人員每天偵測到約23,000個惡意軟體樣本,相當於每小時產生約795個惡意軟體。最近,出現了一種新的、非常複雜的惡意軟體,稱為 Mylobot。

什麼是 FAT32、NTFS、exFAT 格式?

什麼是 FAT32、NTFS、exFAT 格式?

NTFS、FAT32、exFAT都是Windows上的檔案系統,但具體什麼是NTFS、什麼是FAT32、什麼是exFAT,它們有什麼異同呢?我們邀請讀者參考這篇文章。